Заголовки ответа сервера IIS 7.5 (UrlScan не работает)

Вы можете использовать модуль IIS Native-Code для удаления любых заголовков в IIS 7.5 (фактически, тот же модуль должен работать для IIS 7.0–8.5).

Модули собственного кода отличаются от более распространенных управляемых модулей, поскольку они написаны с использованием API Win32, а не ASP.NET. Они работают для всех запросов, включая статические страницы и изображения.

Двоичные файлы и исходный код примера модуля Native-Code для удаления заголовков в IIS 7.0–8,5 доступны в следующей статье. Этот модуль представляет собой простую установку MSI и по умолчанию удаляет заголовки «Сервер», «X-Powered-By» и «AspNet Version». Остальные заголовки можно удалить с помощью конфигурации IIS.

http://www.dionach.com/blog/easily-remove-unwanted-http-headers-in-iis-70-to-85

В Интернете есть множество ресурсов, объясняющих, как это сделать. Просто образец:

• https://stackoverflow.com/questions/1178831/remove-server-response-header-iis7
• Как удалить заголовки ответа IIS / ASP.NET

Однако я признаю, что большинство из них не будут работать в любом контексте:

• это будет зависеть от того, есть ли у вас доступ к Global.asax.cs исходный код файла.
• в Global.asax подход действителен только для веб-сайтов, разработанных с ASP.NET. Так что, если ваш сайт статичен html страницы и css или js?
• в web.config подход не сможет удалить Server Version заголовок.

Со своей стороны, я решил избавиться от всех обходных путей, связанных с разработкой.

Я выбрал URL Rewrite подход, поэтому я полностью независим от веб-разработчиков (если таковые имеются) и от ASP.NET или HTML развитие.

Чтобы удалить заголовок X-Powered-By:

1. В IIS Manager, перейдите на свой веб-сайт
2. Выбрать HTTP Response Header
3. Выбрать X-Powered-By и нажмите Remove

Чтобы удалить Server Version заголовок я использую URL Rewrite расширение от Microsoft:

• http://www.iis.net/downloads/microsoft/url-rewrite

Затем я определил исходящее правило, чтобы переписать Server Version с пустым значением. Но я также мог написать неправильное значение, например Apache или unknown ;)

Я надеюсь, что вы, как и я, найдете эти ссылки очень полезными для реализации того, о чем я говорю:

• http://blogs.msdn.com/b/varunm/archive/2013/04/23/remove-unwanted-http-response-headers.aspx
• http://www.4guysfromrolla.com/articles/120209-1.aspx
• http://www.troyhunt.com/2012/02/shhh-dont-let-your-response-headers.html

Наконец, сам не тестировал, но кажется, что все еще можно использовать UrlScan с участием IIS7.5/8:

• http://kanishkashowto.wordpress.com/2013/09/12/how-to-configure-urlscan-on-iis-7-5-and-iis-8-2/