在没有UrlScan的情况下删除/隐藏/禁用Azure / IIS7中过多的HTTP响应标头

Question 1

我需要删除过多的标题（主要是为了通过渗透测试）。我花了很多时间研究涉及运行UrlScan的解决方案，但是这些解决方案很麻烦，因为每次启动Azure实例时都需要安装UrlScan。

必须有一个不错的Azure解决方案，该解决方案不涉及从startup.cmd部署安装程序。

我知道响应标头添加在不同的位置：

服务器：由IIS添加。
X-AspNet-Version：在刷新时由System.Web.dll在HttpResponse类中添加
X-AspNetMvc-Version：由MvcHandler在System.Web.dll中添加。
X-Powered-By：由IIS添加

有什么方法可以配置（通过web.config等？）IIS7来删除/隐藏/禁用HTTP响应标头，从而避免在asafaweb.com上出现“标头过多”警告，而无需创建IIS模块或部署需要安装的安装程序。每次启动Azure实例时都可以运行？

Question 2

通过以下更改，您可以在Azure中删除这些HTTP响应标头，而无需编写自定义HttpModule。

网上的大多数信息都已过时，涉及UrlScan（此后已集成到IIS7中，但已RemoveServerHeader=1删除了该选项）。以下是我找到的最简洁的解决方案（这要归功于该Blog，该答案和这个Blog）。

要删除Server，请转到Global.asax，找到/创建Application_PreSendRequestHeaders事件并添加以下内容（感谢BK，并且此博客在Cassini /本地开发人员上也不会失败）：

2014年4月修改：您可以将PreSendRequestHeaders和PreSendRequestContext事件与本机IIS模块一起使用，但不要与实现IHttpModule的托管模块一起使用。设置这些属性可能会导致异步请求出现问题。正确的版本是使用BeginRequest事件。

    protected void Application_BeginRequest(object sender, EventArgs e)
    {
        var application = sender as HttpApplication;
        if (application != null && application.Context != null)
        {
            application.Context.Response.Headers.Remove("Server");
        }
    }

要删除X-AspNet-Version，请在web.config中查找/创建<system.web>并添加：

  <system.web>
    <httpRuntime enableVersionHeader="false" />

    ...

要删除X-AspNetMvc-Version，请转到Global.asax，找到/创建Application_Start事件并添加一行，如下所示：

  protected void Application_Start()
  {
      MvcHandler.DisableMvcResponseHeader = true;
  }

要删除X-Powered-By，请在web.config中查找/创建<system.webServer>并添加：

  <system.webServer>
    <httpProtocol>
      <customHeaders>
        <remove name="X-Powered-By" />
      </customHeaders>
    </httpProtocol>

    ...

Question 3

MSDN发表了有关如何在Azure网站上隐藏标题的文章。现在，您可以通过将条目添加到system.webServer来从web.config隐藏服务器

<security>
      <requestFiltering removeServerHeader ="true" />
</security>

VS会因为以上原因而皱眉。上面的链接具有图片的代码，很难找到。MVC版本仍在上述应用程序启动中隐藏，与x-poweredby和.Net版本相同。

Question 4

NuGet上还有一个软件包，可帮助您通过几行配置而无需更改代码即可实现此目的：NWebsec。可在以下位置找到有关删除版本标头的文档：https : //github.com/NWebsec/NWebsec/wiki/Suppressing-version-headers

在此处进行了演示：http ://www.nwebsec.com/HttpHeaders/VersionHeaders （在Azure中）

免责声明：我是该项目的开发人员。

Question 5

尼克·埃文斯的答案很完美，但是...

如果出于安全考虑删除这些标头，请不要忘记更改ASP.NET Session coockie name！因为在看到此消息时，更容易猜测所使用的语言或服务器版本：

更改Cookie名称：（有创意）

<system.web>
  <sessionState cookieName="PHPSESSID" />
</system.web>

Question 6

从@ giveme5minutes和@AKhooli中汇总与Azure网站相关的先前答案，以及扫描仪希望查看的其他一些项目，这些是我所做的更改，它们使我对ASafaWeb满意Azure网站。

它仍然抱怨Azure亲缘关系标头Cookie不仅是https，而是您仍然要重播的Cookie类型，对吗？

<system.web>
    <compilation debug="false">
    <httpRuntime enableVersionHeader="false" />
    <httpCookies httpOnlyCookies="true" requireSSL="true" />    
    <customErrors mode="RemoteOnly" defaultRedirect="~/Error.aspx" />
</system.web>

<system.webServer>
    <httpProtocol>
      <customHeaders>
        <add name="X-Frame-Options" value="DENY" />
        <remove name="X-Powered-By" />
      </customHeaders>
    </httpProtocol>
    <security>
      <!--removes Azure headers-->
      <requestFiltering removeServerHeader="true" />
    </security>
</system.webServer>