徹底移除 IIS Response Header 版本信息

原創

2018-09-11 07:46

轉自：http://blog.darkthread.net/post-2018-01-30-remove-iis-response-server-header.aspx
從 IIS Reponse Header 移除 Server、X-AspNet-Version、X-Powered-By 等版本信息，可降低因曝露信息被鎖定***的機率，被視爲提高資安防護的手段(效果高低見仁見智，但有些資安掃瞄將此列爲弱點，不做也得做)。這已算是老話題，網絡上有不少討論與參考文章：
mrkt 的程序學習筆記- ASP.NET MVC - 移除特定的 Response Headers 內容
Troy Hunt: Shhh... don’t let your response headers talk too loudly
KingKong Bruce記事: 提升ASP.NET MVC項目安全性與效能小技巧

綜觀常見的幾種做法，不管是用 IHttpModule 或 Global.asax.cs 在 PreSendRequestHeader() 將 Server Header 移除，都只對 ASP.NET WebForm 或 ASP.NET MVC 有效，***者只要改下載 HTML/JS/CSS/JPG/PNG 等靜態檔案，甚至隨便想個不存在的 html，HTTP 404 Reponse 冒出 Server: Microsoft-IIS/10.0 當場破功，白忙半天。

這是因爲靜態內容由 IIS 直接處理，不會經過我們設計的機制（延伸閱讀：system.web 與 system.webServer ）。

有個笨方法，設定 <modules runAllManagedModulesForAllRequests="true"> 將所有靜態檔案也導入 ASP.NET Pipeline，雖然管用，但原本由 IIS 輕巧做掉的工作通通被導進爲複雜情境設計的笨重程序，對效能很傷。

Server Header 是當中最棘手的項目，IIS Manager HTTP Response Headers 或 URL Rewrite Module 可以改寫或清空 Server Header，但無法移除，而 UrlScan 可以清除 Server Header 只支持到 IIS 7。

最後我找到一個不錯的解決方案 - StripHeaders。一個 C++ 開發的開源模塊，使用 WIN32 API 在 IIS 核心執行，能涵蓋靜態內容，核心模塊的 Overhead 低，加上原生程序執行效能遠比 .NET 程序快，較不用擔心效能問題。

IIS 原生模塊的安裝程序蠻多，不過 StripHeaders 提供MSI 安裝檔，大大簡化安裝步驟。目前最新版 iis_stripheaders_module_1.0.5.msi 於 2016-11-19 推出，支持 Server 2016。

安裝程序在背後做了一堆事：

Installs stripheaders.dll
Registers the Native-Code module with IIS using the appcmd.exe command
Extends the IIS configuration schema to allow setting of headers to remove
Adds default settings to the IIS configuration to remove the common "Server", "X-Powered-By" and "X-Aspnet-Version" respon se headers
Adds a registry setting to remove the "Server: Microsoft-HTTPAPI/2.0" response header.

理論上重開機後就會生效，如果你不想重開機，可以使用net stop http 重啓底層 HTTP 服務再手動啓動 IIS 及其他相依服務。不過我實測時停用 HTTP 失敗(處於停用中的狀態，一直關不掉)，最後只能重開機。但我遇的狀況是重開完也沒生效，最後參考 Github 的安裝程序原始碼(Open Source 萬歲!)，手動註冊 StripHeadersModule 才解決問題：

appcmd install module /name:StripHeadersModule /image:%windir%\system32\inetsrv\stripheaders.dll /add:true /lock:true

安裝妥當後，如下圖應該要在 IIS 模塊列表看到 StripHeadersModule：

StripHeaders 默認會移除 Server、X-Powered-By、X-AspNet-Version 等 Response Header，不需修改 web.config 就會生效。如需移除額外 Header，則可在 web.config system.webServer/stripHeaders 中設定。

以 css 實測，未啓用 StripHeaders 前：

啓用後，Server、X-Powered-By 消失，成功！

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

徹底移除 IIS Response Header 版本信息

Nginx R31 doc 官方文檔-01-nginx 如何安裝

Qt/C++音視頻開發74-合併標籤圖形/生成yolo運算結果圖形/文字和圖形合併成一個/水印濾鏡

挑戰程序設計競賽 2.2章習題 POJ - 3617 Best Cow Line 貪心

字節面試：MySQL什麼時候鎖表？如何防止鎖表？

.NET8連接SQL SERVER 2008 R2 報：證書鏈是由不受信任的頒發機構頒發的

golang開發環境搭建(win10)

python計算機視覺學習筆記——PIL庫的用法

SCCM 1906 雙硬盤自動分區

SCCM 1906 任務序列自動根據SN命名計算機

K8S 升級V1.14.0

K8S 1.13.4安裝部署

批量修改域用戶撥入屬性

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結