Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

IIS 10: Как удалить заголовки сервера и NET

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Удаление заголовка X-Powered-By
  4. 2. Удаление заголовков Server и X-ASPNet-Version
  5. 3. Убедитесь в правильности настроек реестра
  6. 4. HTTP-параметры
  7. 5. Проверка используемого кода
  8. 6. Наконец, альтернативы с URL Rewrite
  9. Заключение

Вопрос или проблема

Настройка следующая:

Сервер 2022 Standard с IIS 10.

Приложение на основе ASP .NET 4.8, работающее в Интегрированном режиме и Идентичности пула приложений.

Я пытаюсь удалить следующие заголовки:

Server, X-Powered-By, X-ASPNet-Version, X-ASPNetMVC-Version.

Что бы я ни делал, они просто ОТКАЗЫВАЮТСЯ удаляться.

Что я сделал:

  1. Удалил на уровне сервера заголовок X-Powered-By из ЗАГОЛОВКОВ ОТВЕТА – без эффекта, всё равно отображается на динамическом контенте.

  2. Установил на уровне сервера system.web/httpRuntime -> enableVersionHeader в False – без эффекта, всё равно отображается.

  3. Установил на уровне сервера system.webServer/security/requestFiltering -> removeServerHeader в True – без эффекта, всё равно отображается с полным значением.

  4. Установил ключ реестра в HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters с DWORD DisableServerHeader в 1 – перезапустил IIS, без эффекта.

Я подтвердил, что изменения на уровне сервера касаются и уровня сайта. Я также пытался настроить это вручную в web.config на сайте. Такой же эффект (никакого).

URL Scan больше недоступен, так что это не вариант. Последний вариант, похоже, использовать URL Rewrite, но я бы предпочёл не использовать его, если это возможно, учитывая, что, предположительно, есть родные решения для этого.

Что я делаю не так и что я упускаю?

Ответ или решение

Удаление заголовков HTTP в IIS 10 может представлять собой задачу, требующую тщательной настройки. Давайте рассмотрим шаги, которые вы уже предприняли, и добавим некоторые моменты, которые можно использовать для успешного удаления заголовков Server, X-Powered-By, X-ASPNet-Version, и X-ASPNetMVC-Version.

1. Удаление заголовка X-Powered-By

Вы уже пытались удалить заголовок X-Powered-By, изменив настройки на уровне сервера. Но также стоит убедиться, что у вас правильно настроены настройки в web.config. Попробуйте добавить следующий блок в ваш файл web.config:

<configuration>
  <system.web>
    <httpRuntime enableVersionHeader="false" />
  </system.web>
  <system.webServer>
    <httpProtocol>
      <customHeaders>
        <remove name="X-Powered-By" />
      </customHeaders>
    </httpProtocol>
  </system.webServer>
</configuration>

2. Удаление заголовков Server и X-ASPNet-Version

Для Server заголовка и заголовка X-ASPNet-Version, используйте следующий блок в web.config:

<configuration>
  <system.webServer>
    <security>
      <requestFiltering>
        <removeServerHeader enabled="true" />
      </requestFiltering>
    </security>
    <httpProtocol>
      <customHeaders>
        <remove name="X-ASPNet-Version" />
      </customHeaders>
    </httpProtocol>
  </system.webServer>
</configuration>

3. Убедитесь в правильности настроек реестра

Ваша попытка изменения реестра с DisableServerHeader также является правильной. Не забудьте перезапустить IIS после изменения. Это можно сделать с помощью командной строки:

iisreset

4. HTTP-параметры

Если изменения в реестре не приводят к успеху, проверьте параметры HTTP вашего приложения. Убедитесь, что нет конфликтующих приложений или настроек, которые могут сохранять эти заголовки.

5. Проверка используемого кода

Иногда могут быть дополнительные компоненты (например, библиотека или middleware в ASP.NET), которые добавляют заголовки. Убедитесь, что в вашем коде на ASP.NET нет мест, где эти заголовки могли бы быть добавлены вручную.

6. Наконец, альтернативы с URL Rewrite

Если всё вышеперечисленное не сработает, вы можете использовать URL Rewrite как последний вариант. Этот инструмент действительно может помочь в удалении нежелательных заголовков:

<configuration>
  <system.webServer>
    <rewrite>
      <outboundRules>
        <rule name="Remove Server Header">
          <match serverVariable="RESPONSE_Server" pattern=".*" />
          <action type="Rewrite" value="" />
        </rule>
        <rule name="Remove X-Powered-By Header">
          <match serverVariable="RESPONSE_X-Powered-By" pattern=".*" />
          <action type="Rewrite" value="" />
        </rule>
        <rule name="Remove X-ASPNet-Version Header">
          <match serverVariable="RESPONSE_X-ASPNet-Version" pattern=".*" />
          <action type="Rewrite" value="" />
        </rule>
        <rule name="Remove X-ASPNetMVC-Version Header">
          <match serverVariable="RESPONSE_X-ASPNetMVC-Version" pattern=".*" />
          <action type="Rewrite" value="" />
        </rule>
      </outboundRules>
    </rewrite>
  </system.webServer>
</configuration>

Заключение

Если все ваши попытки удалить заголовки не дали результата, возможно, стоит рассмотреть возможность перемещения на более высокую версию .NET или IIS, где возможности управления заголовками могут быть более гибкими. Также убедитесь, что у вас нет каких-либо кэшированных данных, которые могут указывать на старые заголовки.

Надеюсь, эти шаги помогут вам успешно удалить нежелательные заголовки HTTP в IIS 10. Если у вас остались вопросы или нужны дополнительные детали, не стесняйтесь обращаться.

http-headers iis iis-10 web-server windows-server-2022
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности