最开始的做法
修改Web.config配置文件去除X-AspNet-Version、X-Powered-By
<system.web> <!--关闭ASP.Net版本号--> <httpRuntime enableVersionHeader="false"/> </system.web> <system.webServer> <httpProtocol> <customHeaders> <!--去除请求头--> <remove name="X-Powered-By"/> </customHeaders> </httpProtocol> </system.webServer>
在Global.asax.cs增加方法
protected void Application_PreSendRequestHeaders() { Response.Headers.Remove("Server");//禁用Server HTTP头 }
遇到的问题
访问静态文件时,Server请求头依然存在,会被AppScan扫描出来。
解决方案
StripHeaders,一个 C++ 开发的开源模块,使用 WIN32 API 在 IIS 核心执行,能涵盖静态内容,核心模块的 Overhead 低,加上原生程序执行效能远比 .NET 程序快,较不用担心效能问题。
下载iis_stripheaders_module_1.0.5.msi后直接双击安装即可,会看到窗口加载后,无提示,无需再次安装。
下载地址:https://github.com/Dionach/StripHeaders/releases/tag/v1.0.5
安装程序在背后做了一堆事:
Installs stripheaders.dll Registers the Native-Code module with IIS using the appcmd.exe command Extends the IIS configuration schema to allow setting of headers to remove Adds default settings to the IIS configuration to remove the common "Server", "X-Powered-By" and "X-Aspnet-Version" respon se headers Adds a registry setting to remove the "Server: Microsoft-HTTPAPI/2.0" response header.
验证安装成功
StripHeaders 默认会移除 Server、X-Powered-By、X-AspNet-Version 等 Response Header,不需做额外的配置就会生效。 若需移除额外 Header,则可在 web.config system.webServer/stripHeaders 中设定。
» 本文链接地址:https://blog.mydns.vip/4794.html
最新评论
麻烦发下检测工具
让我下载
非常好