删除 Windows Server IIS 10 和 ASP.NET 中的 HTTP 响应标头

已于 2022-08-19 21:45:38 修改
阅读量2.1k 收藏 1
点赞数 2
文章标签: 服务器 http 运维
于 2022-08-19 21:45:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/126432258
版权

Windows Server IIS喜欢告诉全世界网站在 IIS 上运行。它使用 HTTP 响应中的Server标头执行此操作,如下所示。在这篇文章中,我将向您展示如何在 IIS 中删除响应服务器标头。你不想给黑客太多关于你的服务器的信息,嗯?;-)。

正常的 HTTP 响应标头

微软互联网信息服务

尽管我不是默默无闻的安全爱好者(你是吗?),但安全专家通常建议删除常见的服务器响应标头。攻击者可能会通过查看 Web 服务器返回的响应标头来获得有关您的服务器和网络的大量信息。

因此,建议您至少删除其中一些标头。

但是让我们从正常的 HTTP HEAD 响应的样子开始:

HTTP/1.1 200 OK
Content-Length: 0
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
Server: Microsoft-IIS/8.0
X-UA-Compatible: IE=Edge,chrome=1
Date: Sun, 06 Jul 2014 10:05:34 GMT
Connection: close

在这里,您注意到IIS在标头中显示其版本信息Server,作为响应:

Server: Microsoft-IIS/8.0

删除 IIS 中的 ETag 标头一样,您可以使用 URL Rewrite Module outboundRule重写和清空IISServer:中的HTTP 响应标头。

希望在 IIS (或更多 HTTP 安全标头)上启用 HTTP Strict-Transport-Security (HSTS )?

使用 outboundRule URL 重写规则删除服务器响应标头

不幸的是,您不能真正删除 Server 标头。但是您可以重写其内容并将其清空。在IIS 7+(IIS 7、8.5、8.0、8.5、IIS 10.0)上,使用重写 outboundRuleServer: 标头响应中删除 Web 服务器版本信息。

您可以使用以下URL 重写出站规则:

<rewrite>    
  <outboundRules rewriteBeforeCache="true">
    <rule name="Remove Server header">
      <match serverVariable="RESPONSE_Server" pattern=".+" />
      <action type="Rewrite" value="" />
    </rule>
  </outboundRules>
</rewrite>

outboundRule 所做的是:它Server:在输出响应流中查找标头(或 serverVariable),并用空字符串(无)重写该值。

最终结果是一个空的Server: 响应标题行:

HTTP/1.1 200 OK
Content-Length: 0
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
Server:
X-UA-Compatible: IE=Edge,chrome=1
Date: Sun, 06 Jul 2014 10:06:08 GMT
Connection: close

您现在已经成功地Server从 HTTP 标头中删除了版本响应!

这是特定于网站的规则。如果要为所有应用程序创建规则,则必须在服务器级别创建规则。此外,某些应用程序,尤其是第三方应用程序,可能需要并依赖于 Server 标头。然后,您可能需要为这些应用程序删除此规则。

删除 IIS 中的 ETags HTTP 响应标头

如何在 IIS 上启用 HTTP 严格传输安全 (HSTS)

用您自己的服务器信息重写“服务器:Microsoft-IIS/8.0”——只是为了好玩

重写响应头的有趣之处在于您可以显示自己的信息字符串。例如,如果您在 Rewrite 操作中提供一个值,则会显示该消息:

<action type="Rewrite" 
  value="Saotn Server Software systems, LTD." />
HTTP/1.1 200 OK
Content-Length: 0
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
Server: Saotn Server Software systems, LTD.
X-UA-Compatible: IE=Edge,chrome=1
Date: Sun, 06 Jul 2014 11:19:16 GMT
Connection: close

这不是很有趣,现在是吗?:)

将 .htaccess 转换为 web.config

如何使用 PowerShell 从 Windows Server 中删除 IIS

使用 web.config customHeaders 删除 IIS 中的 ASP.NET X-Powered-By 标头

默认情况下, IIS通过放置X-Powered-By标头来告诉世界它由ASP.NET提供支持:

HTTP/1.1 200 OK
Content-Length: 0
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
Server:
X-Powered-By: ASP.NET
X-UA-Compatible: IE=Edge,chrome=1
Date: Sun, 06 Jul 2014 10:07:37 GMT
Connection: close

可以使用位于web.config节点中的 customHeaders 设置删除此响应标头<system.webServer>

<httpProtocol>
  <customHeaders>
    <remove name="X-Powered-By" />
  </customHeaders>
</httpProtocol>

现在,X-Powered-By标头已从响应标头输出中删除

HTTP/1.1 200 OK
Content-Length: 0
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
Server:
X-UA-Compatible: IE=Edge,chrome=1
Date: Sun, 06 Jul 2014 10:10:02 GMT
Connection: close

了解有关各种HTTP 安全标头的更多信息。

X-AspNet-Version 标头

X-AspNet-VersionHTTP Header 向全世界广播正在使用的ASP.NET版本。<system.web>在应用程序的 web.config 文件中的节点内添加以下内容:

<httpRuntime
  enableVersionHeader="false" />

IIS 10.0 中的 removeServerHeader requestFiltering

在 IIS 10.0 (Windows Server 2016/2019) 中,您可以通过在system.webServer节点中配置requestFiltering来移除Server标头:web.config

<security>
  <requestFiltering removeServerHeader ="true" />
</security>

或者在 IIS 管理器的配置编辑器中:

在 IIS 配置管理器 requestFiltering 节点中将 removeServerHeader 设置为 True。

这样您就不必摆弄复杂的出站重写规则。要删除 ASP.NET 的X-Powered-By标头,您仍然需要customHeaders上面提到的部分。

allway2
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Asp.net移除Server, X-Powered-By, 和X-AspNet-Version头
code12313的博客
01-29 849
移除X-Powered-By需要在IISHTTP响应删除 X-Powered-By选项即可。
Response Header里的Server,X-Powered-By,X-AspNet-Version字段等敏感信息删除
amx_006的博客
11-28 6012
Response Header里的Server,X-Powered-By,X-AspNet-Version字段等敏感信息删除 目录 Web应用安全之Response Header 前言 1.1那些敏感的header 1.2删除敏感的header 1.2.1删除server字段 1.2.2删除X-Powered-By字段 1.2.3删除X-AspNet-Version字段 1.2.4删除X-AspNetMvc-Version 前言 通过抓包工具burp...
【已解决】IIS环境检测到网站存在响应头缺失、禁用Options方法、解决跨域攻击等不安全
最新发布
A_991128a的博客
06-04 693
环境下的网站存在响应头缺失漏洞如下1、检测到目标X-Content-Type-Options响应头缺失2、检测到目标X-XSS-Protection响应头缺失3、检测到目标Content-Security-Policy响应头缺失 IIS设置4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 重新配置IIS5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS
HTTP请求的header头里面,为什么有的时候有X-Powered-By这个值,有的时候没有呢?
Misslay's
09-05 8174
x-powered-by不是Apache或者Nginx输出的,而是由语言解析器或者应用程序框架输出的, 这个值的意义用于告知网站是用何种语言或框架编写的。 例如: php PHP标准输出是:X-Powered-By: PHP/5.2.1 ,可在php.ini增加或修改 expose_php = Off关闭。 thinkphp 而使用了ThinkPHP,会输出:X-Powered-By: T
X-Powered-by
qq_29566629的博客
03-03 4284
这是一个常见的非标准的HTTP响应头(很多有X-前缀的头都是非标准的),一般会包含php的版本,这样会造成一定的安全威胁,消除这个隐患的方式为: 修改 php.ini 文件。添加或修改 expose_php = Off ...
IIS去除无用的HTTP响应
Mr_ZTQ
03-12 1672
IIS去除无用的HTTP响应头最开始的做法遇到的问题解决方案 最开始的做法 修改Web.config配置文件去除X-AspNet-Version、X-Powered-By <system.web> <!--关闭ASP.Net版本号--> <httpRuntime enableVersionHeader="false"/> </system.web> <system.webServer> <httpProtocol&
删除不需要的 HTTP 响应标头 Server:Microsoft-IIS/7.5 X-Powered-By:ASP.NET
小广龙
04-20 6609
移除iis敏感响应头信息 Server、X-Powered-By、X-AspNet-Version
隐藏响应server和X-Powered-By
weixin_30340745的博客
07-14 1181
来源:https://www.yduba.com/biancheng-7831560074.html 有时候,我们用调试工具查看别人的网站时,经常看到 X-Powered-By:PHP/7.1.8 这样的一行和 Server:Apache/2.4.27 (Win32) OpenSSL/1.0.2l PHP/7.1.8 这样的一行。 如:用 chrome 的调试工具的 networ...
nginx隐藏 X-Powered-By HTTP
rojanzhang的专栏
12-26 7463
规则描述: x-powered-By表示网站是用什么技术开发的,它会泄漏开发语言、版本号和框架等信息,有安全隐患,需要隐藏掉。 根据: 审计描述: 检查nginx.conf文件,是否存在以下配置: proxy_hide_header X-Powered-By; 修改建议: 在nginx.conf文件使用指令proxy_hide_header隐藏它 proxy_hide_h...
深入研究X-Powered-By头的安全隐患与解决方案
todoitbo的博客
03-06 1152
本文将深入探讨X-Powered-By头在ASP.NET的潜在风险,以及是否有必要隐藏这一头信息。通过生动的例子和实用的建议,帮助读者理解如何通过去除或隐藏X-Powered-By头来提升站点的信息安全性。
X-Powered-By: Servlet/3.0漏洞修复
范一刀的博客
03-06 3376
为防止Servlet/3.0漏洞泄露服务器端信息被攻击者利用针对性攻击,需采取以下措施进行加固: 1. 停止应用 a) 登陆was控制台 b) 应用程序—应用程序类型— WebSphere 企业应用程序 停止需要调整的应用 2. 修改server 依次选择 服务器服务器类型— WebSphere Application Server 选择需要修改的server—Web容器设置—Web容器—定制属性----新建 名称: com.ibm.ws.webcontainer.disablexPoweredBy 值
IIS10 移除Response headerserver信息
03-04 1589
网站的Configuration Editor system.webServer/security/requestFiltering removeServerHeader设置为true
remove server header tomcat
weixin_33895695的博客
12-15 270
为什么80%的码农都做不了架构师?>>> ...
HTTP 安全响应头(Security Response header)配置手册
sysin | SYStem INside
12-09 1万+
HTTP 安全响应头(Security Response header)配置手册
如何隐藏Tomcat服务器Response Headerserver信息
Rome was not built in one day
10-19 8965
隐藏服务器在Response Header的信息,是为了防止服务器的版本信息泄露,也是为了站点安全进行的防护措施。 那么我们如何防止我们服务器信息泄露呢? 其实很简单,只需要在 $CATALINA_HOME/conf/server.xml文件,为connector元素添加server=" ",注意不是空字符串,是空格组成的长度为1的字符串,这时候,在response header就没有s
隐藏X-Powered-By,不显示网站开发语言
是日已过,命亦随减的博客
06-30 790
参考: https://blog.csdn.net/qq_27517377/article/details/97376737?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162503530616780255245703%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=162503530616780255245703&biz_id
nginx解决不必要的 Http 响应头漏洞(自定义server信息及隐藏版本号)
weixin_43872895的博客
05-10 2958
nginx解决不必要的 Http 响应头漏洞(自定义server信息及隐藏版本号)
Web服务器HTTP头信息公开 漏洞
热门推荐
hobe1的博客
07-16 1万+
远程Web服务器通过HTTP标头公开信息 远程Web服务器发送的HTTP标头公开了可以帮助攻击者的信息,例如Web服务器使用的服务器版本和语言。 解决办法 修改Web服务器HTTP头以不公开关于底层Web服务器的详细信息。 服务器 Windows2008 r2 方法转载自:https://blog.51cto.com/chenchunjia/1958167 一、漏洞名称 漏洞名称 漏洞摘要 ...
IISHttp响应标头Access-Control-Allow-Origin可以设置多个吗?
11-13
根据提供的引用内容,可以看出在IISHttp响应标头Access-Control-Allow-Origin可以设置多个。在引用,可以看到在允许跨域请求的域名列表,通过循环添加允许的域名,最终在响应添加Access-Control-Allow-Origin响应头。因此,可以通过在允许的域名列表添加多个域名来设置多个Access-Control-Allow-Origin。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值