การลบ / ซ่อน / ปิดใช้งานส่วนหัวการตอบกลับ HTTP ที่มากเกินไปใน Azure / IIS7 โดยไม่มี UrlScan

Question 1

ฉันต้องการลบส่วนหัวที่มากเกินไป (โดยหลักแล้วจะต้องผ่านการทดสอบการเจาะ) ผมได้ใช้เวลามองไปที่การแก้ปัญหาที่เกี่ยวข้องกับการทำงาน UrlScan แต่เหล่านี้จะยุ่งยากเป็นUrlScan จะต้องติดตั้งในแต่ละครั้งตัวอย่าง Azure จะเริ่มต้น

ต้องมีโซลูชันที่ดีสำหรับ Azure ที่ไม่เกี่ยวข้องกับการปรับใช้โปรแกรมติดตั้งจาก startup.cmd

ฉันเข้าใจว่ามีการเพิ่มส่วนหัวการตอบกลับในที่ต่างๆ :

เซิร์ฟเวอร์ : เพิ่มโดย IIS
X-AspNet-Version : เพิ่มโดย System.Web.dll ในช่วงเวลาของ Flush ในคลาส HttpResponse
X-AspNetMvc-Version : เพิ่มโดย MvcHandler ใน System.Web.dll
X-Powered-By : เพิ่มโดย IIS

มีวิธีใดบ้างในการกำหนดค่า (ผ่าน web.config เป็นต้น) IIS7 เพื่อลบ / ซ่อน / ปิดใช้งานส่วนหัวการตอบกลับ HTTP เพื่อหลีกเลี่ยงคำเตือน "ส่วนหัวที่มากเกินไป" ที่asafaweb.comโดยไม่ต้องสร้างโมดูล IIS หรือปรับใช้โปรแกรมติดตั้งซึ่งจำเป็นต้อง เรียกใช้ทุกครั้งที่อินสแตนซ์ Azure เริ่มทำงานหรือไม่

Question 2

การเปลี่ยนแปลงต่อไปนี้ช่วยให้คุณสามารถลบส่วนหัวการตอบกลับ HTTP เหล่านี้ใน Azure ได้โดยไม่ต้องเขียน HttpModule แบบกำหนดเอง

ข้อมูลส่วนใหญ่ในเน็ตล้าสมัยและเกี่ยวข้องกับ UrlScan (ซึ่งตั้งแต่นั้นมาได้รวมเข้ากับ IIS7 แต่มีการRemoveServerHeader=1ลบตัวเลือกออกไป) ด้านล่างเป็นวิธีการแก้ neatest ที่ฉันได้พบ (ขอบคุณบล็อกนี้ , คำตอบนี้และบล็อกนี้รวมกัน)

ในการลบเซิร์ฟเวอร์ไปที่ Global.asax ค้นหา / สร้างApplication_PreSendRequestHeadersเหตุการณ์และเพิ่มสิ่งต่อไปนี้ (ขอบคุณBKและบล็อกนี้สิ่งนี้จะไม่ล้มเหลวใน Cassini / local dev):

แก้ไขเมื่อเมษายน 2014: คุณสามารถใช้เหตุการณ์ PreSendRequestHeaders และ PreSendRequestContext กับโมดูล IIS ดั้งเดิมได้ แต่อย่าใช้กับโมดูลที่มีการจัดการที่ใช้ IHttpModule การตั้งค่าคุณสมบัติเหล่านี้สามารถทำให้เกิดปัญหากับการร้องขอไม่ตรงกัน เวอร์ชันที่ถูกต้องคือการใช้เหตุการณ์ BeginRequest

    protected void Application_BeginRequest(object sender, EventArgs e)
    {
        var application = sender as HttpApplication;
        if (application != null && application.Context != null)
        {
            application.Context.Response.Headers.Remove("Server");
        }
    }

ในการลบX-AspNet-Versionใน web.config ให้ค้นหา / สร้าง<system.web>และเพิ่ม:

  <system.web>
    <httpRuntime enableVersionHeader="false" />

    ...

ในการลบX-AspNetMvc-Versionให้ไปที่ Global.asax ค้นหา / สร้างApplication_Startเหตุการณ์และเพิ่มบรรทัดดังนี้:

  protected void Application_Start()
  {
      MvcHandler.DisableMvcResponseHeader = true;
  }

ในการลบX-Powered-Byใน web.config ค้นหา / สร้าง<system.webServer>และเพิ่ม:

  <system.webServer>
    <httpProtocol>
      <customHeaders>
        <remove name="X-Powered-By" />
      </customHeaders>
    </httpProtocol>

    ...

Question 3

MSDN เผยแพร่บทความนี้เกี่ยวกับวิธีซ่อนส่วนหัวบนเว็บไซต์ Azure ตอนนี้คุณสามารถซ่อนเซิร์ฟเวอร์จาก web.config ได้โดยเพิ่มรายการใน system.webServer

<security>
      <requestFiltering removeServerHeader ="true" />
</security>

VS จะขมวดคิ้วที่ด้านบนว่าไม่ถูกต้องแม้ว่า ลิงค์ด้านบนมีโค้ดเป็นรูปหายาก เวอร์ชัน MVC ยังคงซ่อนอยู่ในแอปพลิเคชันเริ่มต้นเช่นเดียวกับเวอร์ชัน x-powered-by และ. Net

Question 4

นอกจากนี้ยังมีแพ็คเกจใน NuGet ที่ช่วยให้คุณทำสิ่งนี้ได้ผ่านการกำหนดค่าไม่กี่บรรทัดและไม่มีการเปลี่ยนแปลงโค้ด: NWebsec สามารถดูเอกสารเกี่ยวกับการลบส่วนหัวของเวอร์ชันได้ที่นี่: https://github.com/NWebsec/NWebsec/wiki/Suppressing-version-headers

มีการสาธิตที่นี่: http://www.nwebsec.com/HttpHeaders/VersionHeaders (ใน Azure)

ข้อจำกัดความรับผิดชอบ: ฉันเป็นผู้พัฒนาโครงการ

Question 5

คำตอบของ Nick Evans นั้นสมบูรณ์แบบ แต่ ...

หากคุณลบส่วนหัวเหล่านี้เพื่อจุดประสงค์ด้านความปลอดภัยอย่าลืมเปลี่ยนASP.NET Session coockie name! เนื่องจากง่ายต่อการคาดเดาภาษาที่ใช้หรือเวอร์ชันเซิร์ฟเวอร์เมื่อคุณเห็นสิ่งนี้:

ในการเปลี่ยนชื่อคุกกี้: (มีความคิดสร้างสรรค์)

<system.web>
  <sessionState cookieName="PHPSESSID" />
</system.web>

Question 6

รวบรวมคำตอบก่อนหน้านี้จาก @ giveme5minutes และ @AKhooli ตามที่เกี่ยวข้องกับเว็บไซต์ Azure รวมถึงรายการอื่น ๆ ที่สแกนเนอร์ต้องการดูนี่คือการเปลี่ยนแปลงที่ฉันทำเพื่อให้ ASafaWeb พอใจกับไซต์ Azure

มันยังคงบ่นเกี่ยวกับคุกกี้ส่วนหัวความสัมพันธ์ของ Azure ที่ไม่ได้เป็น https เท่านั้น แต่ความสัมพันธ์เป็นประเภทของคุกกี้ที่คุณต้องการให้เล่นซ้ำใช่ไหม

<system.web>
    <compilation debug="false">
    <httpRuntime enableVersionHeader="false" />
    <httpCookies httpOnlyCookies="true" requireSSL="true" />    
    <customErrors mode="RemoteOnly" defaultRedirect="~/Error.aspx" />
</system.web>

<system.webServer>
    <httpProtocol>
      <customHeaders>
        <add name="X-Frame-Options" value="DENY" />
        <remove name="X-Powered-By" />
      </customHeaders>
    </httpProtocol>
    <security>
      <!--removes Azure headers-->
      <requestFiltering removeServerHeader="true" />
    </security>
</system.webServer>