सर्वर रिस्पांस हेडर IIS7 निकालें

IIS7 से "सर्वर" प्रतिक्रिया हेडर को हटाने का कोई तरीका है? कुछ लेख दिखा रहे हैं कि HttpModules का उपयोग करके हम उसी चीज़ को प्राप्त कर सकते हैं। अगर हमारे पास सर्वर का अधिकार नहीं है तो यह मददगार होगा। इसके अलावा मैं ISAPI फ़िल्टर लिखना नहीं चाहता।

मेरे पास अपने सर्वर के लिए व्यवस्थापक अधिकार हैं। इसलिए मैं उपरोक्त सामान नहीं करना चाहता। इसलिए, कृपया मुझे भी ऐसा करने में मदद करें।

इसे अपने global.asax.cs में जोड़ें:

protected void Application_PreSendRequestHeaders()
{
    Response.Headers.Remove("Server");
    Response.Headers.Remove("X-AspNet-Version");
    Response.Headers.Remove("X-AspNetMvc-Version");
}

IIS7 में आपको एक HTTP मॉड्यूल का उपयोग करना होगा। VS में एक क्लास लाइब्रेरी के रूप में निम्नलिखित का निर्माण करें:

namespace StrongNamespace.HttpModules
{
  public class CustomHeaderModule : IHttpModule
  { 
    public void Init(HttpApplication context)
    {
      context.PreSendRequestHeaders += OnPreSendRequestHeaders;
    } 

    public void Dispose() { } 

    void OnPreSendRequestHeaders(object sender, EventArgs e)
    {
      HttpContext.Current.Response.Headers.Set("Server", "Box of Bolts");
    }
  }
}

इसके बाद अपने web.config में निम्न जोड़ें, या आप इसे IIS के भीतर कॉन्फ़िगर करें (यदि आप IIS के भीतर कॉन्फ़िगर करते हैं, तो असेंबली GAC में होनी चाहिए)।

<configuration>
  <system.webServer>
    <modules>
      <add name="CustomHeaderModule"
       type="StrongNamespace.HttpModules.CustomHeaderModule" />
    </modules>
  </system.webServer>
</configuration>

कॉन्फ़िगरेशन खंड में IIS (UrlRewrite) के लिए URL रिवाइटर मॉड्यूल संस्करण 2.0 सक्षम होने के साथ <configuration> ➡ <system.webServer>➡ <rewrite>आउटबाउंड नियम जोड़ें:

<outboundRules>
  <rule name="Remove RESPONSE_Server" >
    <match serverVariable="RESPONSE_Server" pattern=".+" />
    <action type="Rewrite" value="" />
  </rule>
</outboundRules>

स्कॉट मिचेल अनावश्यक हेडर को हटाने के लिए एक ब्लॉग पोस्ट समाधान प्रदान करता है ।

जैसा कि पहले से ही अन्य उत्तरों में यहाँ कहा गया है, Serverहेडर के लिए, http मॉड्यूल समाधान है , या IIS 10+ के लिए एक web.config समाधान है , या आप URLRewrite का उपयोग इसे खाली करने के बजाय कर सकते हैं। ।

अप-टू-डेट (IIS 10 +) सेटअप के लिए सबसे व्यावहारिक समाधान removeServerHeaderweb.config में उपयोग किया जा रहा है:

<system.webServer>
  ...
  <security>
    <requestFiltering removeServerHeader="true" />
  </security>
  ...
</system.webServer>

के लिए X-AspNet-VersionऔरX-AspNetMvc-Version बस नहीं उन सब पर पैदा:, वह प्रत्येक प्रतिक्रिया पर उन्हें हटाने की तुलना में एक बेहतर तरीका प्रदान करता है।

enableVersionHeaderअक्षम करने के लिए उपयोग करें X-AspNet-Version, web.config में

<system.web>
  ...
  <httpRuntime enableVersionHeader="false" />
  ...
</system.web>

MvcHandler.DisableMvcResponseHeaderअक्षम करने के लिए .Net Application_Start ईवेंट का उपयोग करेंX-AspNetMvc-Version

MvcHandler.DisableMvcResponseHeader = true;

और अंत में, X-Powered-Byweb.config में कस्टम हेडर को IIS कॉन्फ़िगरेशन में हटा दें ।

<system.webServer>
  ...
  <httpProtocol>
    <customHeaders>
      <remove name="X-Powered-By" />
    </customHeaders>
  </httpProtocol>
  ...
</system.webServer>

खबरदार, यदि आपके पास एआरआर (एप्लीकेशन रिक्वेस्ट राउटिंग) है, तो यह स्वयं को भी जोड़ देगा X-Powered-By, जिसे कस्टम हेडर सेटिंग्स द्वारा हटाया नहीं जाएगा। इसे IIS प्रबंधक, IIS रूट पर संपादक कॉन्फ़िगरेशन (साइट पर नहीं) के माध्यम से हटाया जाना चाहिए: system.webServer/proxyनोड पर जाएं और सेट arrResponseHeaderकरें false। एक के बाद IISReset, इसे ध्यान में रखा जाता है।
(मुझे यह यहाँ मिल गया है , सिवाय इस पोस्ट के पुराने IIS 6.0 चीजों को कॉन्फ़िगर करने का तरीका है।)

यह मत भूलो कि एप्लिकेशन कोड द्वारा समाधान स्थिर सामग्री पर उत्पन्न हेडर के लिए डिफ़ॉल्ट रूप से लागू नहीं होता है (आप runAllManagedModulesForAllRequestsइसे बदलने के लिए सक्रिय कर सकते हैं , लेकिन यह चलाने के लिए सभी अनुरोधों का कारण बनता है। नेट पाइपलाइन)। यह तब से कोई समस्या नहीं है X-AspNetMvc-Versionक्योंकि इसमें स्टैटिक कंटेंट नहीं जोड़ा गया है (कम से कम अगर स्टैटिक रिक्वेस्ट को .Net पाइपलाइन में नहीं चलाया जाता है)।

साइड नोट: जब उद्देश्य का उपयोग की गई तकनीक को क्लोक करने के लिए है, तो आपको मानक .Net कुकी नाम भी बदलना चाहिए ( .ASPXAUTHयदि प्रपत्र सक्रिय हैं ( web.config में टैग nameपर विशेषता का उपयोग करें forms), ASP.NET_SessionId( टैग के <sessionState cookieName="yourName" />तहत web.config में उपयोग करें system.web), __RequestVerificationToken(इसे बदलें ) कोड के साथ AntiForgeryConfig.CookieName, लेकिन दुर्भाग्य से छिपे हुए इनपुट पर लागू नहीं होता है यह प्रणाली HTML में उत्पन्न होती है))।

वास्तव में कोडित मॉड्यूल और Global.asax उदाहरण केवल ऊपर दिखाए गए मान्य अनुरोधों के लिए काम करते हैं।

उदाहरण के लिए, अपने URL के अंत में <जोड़ें और आपको एक "खराब अनुरोध" पृष्ठ मिलेगा जो अभी भी सर्वर हेडर को उजागर करता है। बहुत सारे डेवलपर्स इसे नजरअंदाज करते हैं।

दिखाए गए रजिस्ट्री सेटिंग्स या तो काम नहीं करती हैं। URLScan "सर्वर" हेडर को हटाने का एकमात्र तरीका है (कम से कम IIS 7.5 में)।

या web.config में जोड़ें:

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <remove name="X-AspNet-Version" />
            <remove name="X-AspNetMvc-Version" />
            <remove name="X-Powered-By" />
            <!-- <remove name="Server" />  this one doesn't work -->
        </customHeaders>
    </httpProtocol>
</system.webServer>

यह web.configसेटअप सभी अनावश्यक हेडर को ASP.NET प्रतिक्रिया (कम से कम IIS 10 से शुरू) से हटाने के लिए काम करता है:

<!--Removes version headers from response -->
<httpRuntime enableVersionHeader="false" />

<httpProtocol>
  <customHeaders>
    <!--Removes X-Powered-By header from response -->
    <clear />
  </customHeaders>
</httpProtocol>

<security>
  <!--Removes Server header from response-->
  <requestFiltering removeServerHeader ="true" />
</security>

कृपया ध्यान दें कि यह "आवेदन" के लिए सभी शीर्षकों को छुपाता है, जैसा कि अन्य सभी दृष्टिकोण करते हैं। यदि आप उदाहरण के लिए कुछ डिफ़ॉल्ट पृष्ठ या IIS द्वारा उत्पन्न त्रुटि पृष्ठ पर पहुँचते हैं या ASP.NET आपके आवेदन के बाहर ये नियम लागू नहीं होंगे। इसलिए आदर्श रूप से वे IIS में मूल स्तर पर होने चाहिए और sill कुछ त्रुटि प्रतिक्रियाओं को IIS को ही छोड़ सकते हैं।

PS IIS 10 में एक बग है जो इसे कभी-कभी सही कॉन्फ़िगरेशन के साथ सर्वर हेडर भी दिखाता है। इसे अब तक ठीक कर लिया जाना चाहिए, लेकिन IIS / Windows को अपडेट करना होगा।

के अलावा URL पुनर्लेखन जवाब है, यहाँ के लिए पूर्ण, XML हैweb.config

<system.webServer>
  <rewrite>
    <outboundRules>
      <rule name="Remove RESPONSE_Server" >
        <match serverVariable="RESPONSE_Server" pattern=".+" />
        <action type="Rewrite" value="Company name" />
      </rule>
    </outboundRules>
  </rewrite>
</system.webServer>

URL फिर से लिखना

Server:शीर्ष लेख को हटाने के लिए Global.asax, इस Application_PreSendRequestHeadersकार्यक्रम को खोजें, बनाएं / बनाएं और निम्नानुसार एक पंक्ति जोड़ें ( बीके के लिए धन्यवाद और यह ब्लॉग कैसिनी / स्थानीय देव पर भी विफल नहीं होगा):

protected void Application_PreSendRequestHeaders(object sender, EventArgs e)
{
    // Remove the "Server" HTTP Header from response
    HttpApplication app = sender as HttpApplication;
    if (null != app && null != app.Request && !app.Request.IsLocal &&
        null != app.Context && null != app.Context.Response)
    {
        NameValueCollection headers = app.Context.Response.Headers;
        if (null != headers)
        {
            headers.Remove("Server");
        }
    }
}

यदि आप Azure / IIS7 पर सभी संबंधित हेडर को हटाने के लिए एक संपूर्ण समाधान चाहते हैं और कैसिनी के साथ भी काम करते हैं, तो इस लिंक को देखें , जो HttpModules या URLScan का उपयोग किए बिना इन हेडर को अक्षम करने का सबसे अच्छा तरीका दिखाता है।

यदि आप शीर्ष लेख को हटाना चाहते हैं, तो आप लुकिफायर के उत्तर के एक छोटे संस्करण का उपयोग कर सकते हैं:

using System.Web;

namespace Site
{
    public sealed class HideServerHeaderModule : IHttpModule
    {
        public void Dispose() { }

        public void Init(HttpApplication context)
        {
            context.PreSendRequestHeaders +=
            (sender, e) => HttpContext.Current.Response.Headers.Remove("Server");
        }
    }
}

और फिर में Web.config:

<system.webServer>
  <modules runAllManagedModulesForAllRequests="true">
    <add name="CustomHeaderModule" type="Site.HideServerHeaderModule" />
  </modules>
</system.webServer>

HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\DisableServerHeaderरजिस्ट्री प्रविष्टि को किसी REG_DWORDपर सेट करने का प्रयास करें 1।

UrlScan केAlternateServerName= तहत उपयोग करके सर्वर हेडर को भी हटा सकते हैं [options]।

पर बाद eddiegroves 'जवाब , URLScan के संस्करण के आधार, आप के बजाय पसंद कर सकते हैं RemoveServerHeader=1के तहत [options]।

मुझे यकीन नहीं है कि URLScan के किस संस्करण में यह विकल्प जोड़ा गया था, लेकिन यह 2.5 और बाद के संस्करण में उपलब्ध है।

मुझे एक लेख मिला जिसमें बताया गया है कि हमें IIS में इसे सेट करने के लिए UrlScan जैसे टूल को एडिट करने और उसका उपयोग करने की आवश्यकता क्यों है। मैंने अपने सर्वरों पर इसका अनुसरण किया और यह काम करता है: http://blogs.msdn.com/b/varunm/archive/2013/04/04/23/remove-unwanted-http-response-headers.aspx । यदि आप केवल UrlScan का उपयोग करते हैं, लेकिन रजिस्ट्री परिवर्तन नहीं करते हैं, तो जिस समय आप वर्ल्ड वाइड पब्लिशिंग सर्विस को रोक रहे हैं, आपका सर्वर HTTP.sys फ़ाइल से सर्वर http प्रतिक्रिया वापस कर देगा। इसके अलावा, यहाँ UrlScan टूल का उपयोग करने के सामान्य गड्ढे हैं: http://msdn.microsoft.com/en-us/library/ff648552.aspx#ht_urlscan_008

IIS 10 में, हम ड्रू के दृष्टिकोण के समान समाधान का उपयोग करते हैं, अर्थात:

using System;
using System.Web;

namespace Common.Web.Modules.Http
{
    /// <summary>
    /// Sets custom headers in all requests (e.g. "Server" header) or simply remove some.
    /// </summary>
    public class CustomHeaderModule : IHttpModule
    {
        public void Init(HttpApplication context)
        {
            context.PreSendRequestHeaders += OnPreSendRequestHeaders;
        }

        public void Dispose() { }

        /// <summary>
        /// Event handler that implements the desired behavior for the PreSendRequestHeaders event,
        /// that occurs just before ASP.NET sends HTTP headers to the client.
        /// 
        /// </summary>
        /// <param name="sender"></param>
        /// <param name="e"></param>
        void OnPreSendRequestHeaders(object sender, EventArgs e)
        {
            //HttpContext.Current.Response.Headers.Remove("Server");
            HttpContext.Current.Response.Headers.Set("Server", "MyServer");
        }
    }
}

और स्पष्ट रूप से अपनी परियोजना (ओं) में उस dll का संदर्भ जोड़ें और उस विन्यास में भी मॉड्यूल जिसे आप चाहते हैं:

<system.webServer>
    <modules>
      <!--Use http module to remove/customize IIS "Server" header-->
      <add name="CustomHeaderModule" type="Common.Web.Modules.Http.CustomHeaderModule" />
    </modules>
</system.webServer>

महत्वपूर्ण नोट 1: इस समाधान को एकीकृत के रूप में एक आवेदन पूल सेट की आवश्यकता है;

महत्वपूर्ण नोट 2: वेब ऐप के भीतर सभी प्रतिक्रियाएं इससे प्रभावित होंगी (सीएसएस और जेएस शामिल);

मैंने इस पर शोध किया था और URLRrite विधि अच्छी तरह से काम करती है। लगता है कि कहीं भी अच्छी तरह से स्क्रिप्ट में बदलाव नहीं किया जा सकता है। मैंने इसे PowerShell v2 और इसके बाद के संस्करण के साथ संगत किया और IIS 7.5 पर परीक्षण किया।

# Add Allowed Server Variable
    Add-WebConfiguration /system.webServer/rewrite/allowedServerVariables -atIndex 0 -value @{name="RESPONSE_SERVER"}
# Rule Name
    $ruleName = "Remove Server Response Header"
# Add outbound IIS Rewrite Rule
    Add-WebConfigurationProperty -pspath "iis:\" -filter "system.webServer/rewrite/outboundrules" -name "." -value @{name=$ruleName; stopProcessing='False'}
#Set Properties of newly created outbound rule 
    Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST"  -filter "system.webServer/rewrite/outboundRules/rule[@name='$ruleName']/match" -name "serverVariable" -value "RESPONSE_SERVER"
    Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST"  -filter "system.webServer/rewrite/outboundRules/rule[@name='$ruleName']/match" -name "pattern" -value ".*"
    Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST"  -filter "system.webServer/rewrite/outboundRules/rule[@name='$ruleName']/action" -name "type" -value "Rewrite"

आप Global.asax.cs फ़ाइल में नीचे कोड जोड़ सकते हैं

    protected void Application_PreSendRequestHeaders()
    {
        Response.Headers.Remove("Server");
    }

संयोजन में ऊपर प्रस्तावित समाधान ने निम्नलिखित परिवर्तनों के साथ मेरे लिए काम किया। यहां मैं अपना परिदृश्य और समाधान पोस्ट कर रहा हूं।

मेरे लिए मैं निम्नलिखित हेडर निकालना चाहता था:

• सर्वर
• एक्स-संचालित-तक
• एक्स-ASPNET-संस्करण
• एक्स-AspNetMvc-संस्करण

मैंने इन्हें अपने Global.asax में जोड़ा:

<%@ Application Language="C#" %>
<script runat="server">
    protected void Application_PreSendRequestHeaders()
    {
        Response.Headers.Remove("Server");
        Response.Headers.Remove("X-Powered-By");
        Response.Headers.Remove("X-AspNet-Version");
        Response.Headers.Remove("X-AspNetMvc-Version");
    }
</script>

उपरोक्त घटना ट्रिगर नहीं हो रही थी, इसलिए मैंने इसके लिए web.config का अनुसरण किया और फिर इसने काम किया।

<modules runAllManagedModulesForAllRequests="true" />

और वर्जन हैडर हटाने के लिए मैंने web.config के बाद भी जोड़ा:

<httpRuntime enableVersionHeader="false" />

Web.config में परिवर्तन:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <modules runAllManagedModulesForAllRequests="true" />
    </system.webServer>
    <system.web>
        <httpRuntime enableVersionHeader="false" />
    </system.web>
</configuration>

आशा करता हूँ की ये काम करेगा!

मैंने यहाँ सभी सामानों की कोशिश की और कई अन्य समान स्टैक ओवरफ्लो थ्रेड्स पर।

मैं थोड़ा सा लटका हुआ था क्योंकि मैं अपने ब्राउज़र कैश को कॉन्फ़िगर परिवर्तन करने के बाद साफ़ करना भूल गया था। यदि आप ऐसा नहीं करते हैं और फ़ाइल आपके स्थानीय कैश में है, तो यह आपको मूल हेडर (डुह) के साथ वापस सेवा देगा।

मैं यह ज्यादातर से काम कर मिल गया को हटाने runAllManagedModulesForAllRequests:

<modules runAllManagedModulesForAllRequests="true">

इसने बाहरी हेडर को अधिकांश से हटा दिया स्थिर फ़ाइलों लेकिन मुझे अभी भी स्वैगर में अपने WebAPI प्रोजेक्ट में कुछ स्थिर फाइलों पर "सर्वर" हेडर मिल रहा था।

मैंने आखिरकार इस समाधान को पाया और लागू किया और अब सभी अवांछित हेडर चले गए हैं:

https://www.dionach.com/blog/easily-remove-unwanted-http-headers-in-iis-70-to-85

जो अपने कोड की चर्चा यहाँ करता है:

https://github.com/Dionach/StripHeaders/releases/tag/v1.0.5

यह एक नेटिव-कोड मॉड्यूल है। यह सर्वर हेडर को हटाने में सक्षम है , न कि केवल मूल्य को खाली करने के लिए। डिफ़ॉल्ट रूप से इसे हटा देता है:

• सर्वर
• एक्स-संचालित-तक
• एक्स-ASPNET-संस्करण
• सर्वर: Microsoft-HTTPAPI / 2.0 - जो "यदि अनुरोध IIS में पारित करने में विफल रहता है" लौटा दिया जाएगा

IIS 7.5 और संभवतः नए संस्करणों में हेडर पाठ संग्रहीत है iiscore.dll

एक हेक्स संपादक का उपयोग करके, स्ट्रिंग और शब्द "सर्वर" 53 65 72 76 65 72को इसके बाद ढूंढें और उन लोगों को शून्य बाइट्स के साथ बदलें। IIS 7.5 में यह इस तरह दिखता है:

4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 2F 37 2E 35 00 00 00 53 65 72 76 65 72 

कुछ अन्य तरीकों के विपरीत इसका परिणाम प्रदर्शन दंड नहीं होता है। शीर्षलेख को सभी अनुरोधों, यहां तक ​​कि आंतरिक त्रुटियों से भी हटा दिया जाता है।