引自:https://www.cnblogs.com/felixnet/p/6344613.html测试能够用,但仅仅是修改的应用程序,http://localhost不起做用html
https://www.cnblogs.com/kowloon/p/9071872.htmlweb
https://www.cnblogs.com/crazyair/p/4323173.html 测试能够用,可是对应用程序形成了影响,须要修改配置文件安全
https://blog.csdn.net/qq_25600055/article/details/78188169服务器
(如下方法仅针对 IIS Asp.net)测试
服务器扫描发现漏洞,其中一个是:网站
可经过HTTP获取远端WWW服务信息 [Microsoft-IIS/8.5]spa
漏洞描述 本插件检测远端HTTP Server信息。这可能使得攻击者了解远程系统类型以便进行下一步的攻击。
解决方案 NSFOCUS建议您采起如下措施以下降威胁.net
打开网页,审查代码,咱们发现这几个标头明显标明咱们的服务器和平台信息,存在安全风险,必需要隐藏插件
解决方法:code
新建一个类库项目 CustomHttpModules,添加一个自定义 HttpModule
namespace CustomHttpModules
{
public class HeaderFilterHttpModule : IHttpModule
{
public void Init(HttpApplication context)
{
context.PreSendRequestHeaders += OnPreSendRequestHeaders;
}
public void Dispose()
{ }
void OnPreSendRequestHeaders(object sender, System.EventArgs e)
{
HttpContext.Current.Response.Headers.Remove("Server");
HttpContext.Current.Response.Headers.Remove("X-AspNet-Version");
HttpContext.Current.Response.Headers.Remove("X-AspNetMvc-Version");
HttpContext.Current.Response.Headers.Remove("X-Frame-Options");
}
}
}
编译后,拷贝DLL到网站BIN目录,修改网站的 Web.config
<system.webServer>
<modules>
<add name="HeaderFilterModule" type="CustomHttpModules.HeaderFilterHttpModule,CustomHttpModules"/>
</modules>
<httpProtocol>
<customHeaders>
<remove name="X-Powered-By"/>
</customHeaders>
</httpProtocol>
</system.webServer>
再次运行网站,审查代码,几个标头全没了,搞定!
这种方法是最安全方便的,只要拷贝一个DLL和修改一处配置,不须要设置IIS(好比虚拟主机),也不须要修改和编译网站代码。