UrlScanを使用せずにAzure / IIS7で過剰なHTTP応答ヘッダーを削除/非表示/無効化する

余分なヘッダーを削除する必要があります（主に侵入テストに合格するため）。UrlScanの実行を伴うソリューションを検討することに時間を費やしましたが、Azureインスタンスを起動するたびにUrlScanをインストールする必要があるため、これらは面倒です。

startup.cmdからインストーラーをデプロイする必要のないAzure向けの優れたソリューションが必要です。

応答ヘッダーがさまざまな場所に追加されていることを理解しています。

• サーバー：IISによって追加されました。
• X-AspNet-バージョン：HttpResponseクラスのフラッシュ時にSystem.Web.dllによって追加されました
• X-AspNetMvc-バージョン：System.Web.dllのMvcHandlerによって追加されました。
• X-Powered-By：IISによって追加されました

IISモジュールを作成したりインストーラーをデプロイしたりせずに、（web.configなどを介して）IIS7を構成してHTTP応答ヘッダーを削除/非表示/無効にしてasafaweb.comでの「過剰なヘッダー」警告を回避する方法はありますか？Azureインスタンスが起動するたびに実行されますか？

次の変更により、カスタムHttpModuleを記述せずに、AzureでこれらのHTTP応答ヘッダーを削除できます。

ネット上のほとんどの情報は古く、UrlScanが関係していRemoveServerHeader=1ます（IIS7に統合されていますが、オプションは削除されています）。以下は私が見つけた最も近い解決策です（このブログ、この回答、そしてこのブログを組み合わせたおかげで）。

サーバーを削除するには、Global.asaxに移動し、Application_PreSendRequestHeadersイベントを検索/作成して、以下を追加します（BKとこのブログのおかげで、カッシーニ/ローカル開発でも失敗しません）。

2014年4月編集：ネイティブIISモジュールでPreSendRequestHeadersイベントとPreSendRequestContextイベントを使用できますが、IHttpModuleを実装するマネージモジュールでは使用しないでください。これらのプロパティを設定すると、非同期リクエストで問題が発生する可能性があります。正しいバージョンは、BeginRequestイベントを使用することです。

    protected void Application_BeginRequest(object sender, EventArgs e)
    {
        var application = sender as HttpApplication;
        if (application != null && application.Context != null)
        {
            application.Context.Response.Headers.Remove("Server");
        }
    }

X-AspNet-Versionを削除するには、web.configで次を検索/作成<system.web>して追加します。

  <system.web>
    <httpRuntime enableVersionHeader="false" />

    ...

X-AspNetMvc-Versionを削除するには、Global.asaxに移動し、Application_Startイベントを検索/作成して、次のように行を追加します。

  protected void Application_Start()
  {
      MvcHandler.DisableMvcResponseHeader = true;
  }

X-Powered-Byを削除するには、web.configで次を検索/作成<system.webServer>して追加します。

  <system.webServer>
    <httpProtocol>
      <customHeaders>
        <remove name="X-Powered-By" />
      </customHeaders>
    </httpProtocol>

    ...

MSDNは、AzureWebサイトでヘッダーを非表示にする方法に関するこの記事を公開しました。system.webServerにエントリを追加することで、web.configからサーバーを非表示にできるようになりました。

<security>
      <requestFiltering removeServerHeader ="true" />
</security>

ただし、VSは上記で無効として眉をひそめます。上記のリンクには写真としてのコードがあり、見つけるのは難しいです。MVCバージョンは、x-powered-byバージョンと.Netバージョンの場合と同じように、上記のようにアプリケーションの起動時に非表示のままです。

NuGetには、数行の構成でコードを変更せずにこれを実現するのに役立つパッケージNWebsecもあります。バージョンヘッダーの削除に関するドキュメントは、https：//github.com/NWebsec/NWebsec/wiki/Suppressing-version-headersにあります。

ここでデモが行われます：http：//www.nwebsec.com/HttpHeaders/VersionHeaders（Azureの場合）

免責事項：私はプロジェクトの開発者です。

Nick Evansの答えは完璧ですが、...

セキュリティ上の理由でこれらのヘッダーを削除する場合は、ASP.NET Session coockie name！を変更することを忘れないでください。これを見ると、使用されている言語やサーバーのバージョンを推測しやすいためです。

クッキー名を変更するには:(創造的である）

<system.web>
  <sessionState cookieName="PHPSESSID" />
</system.web>

@ giveme5minutesと@AKhooliからの以前の回答を、Azure Webサイトに関連するものに加えて、スキャナーが見たい他のいくつかの項目にまとめます。これらは、ASafaWebをAzureサイトで満足させるために行った変更です。

それでも、AzureアフィニティヘッダーCookieがhttpsのみではないことについて不平を言いますが、アフィニティはとにかく再生したいCookieのタイプですよね？

<system.web>
    <compilation debug="false">
    <httpRuntime enableVersionHeader="false" />
    <httpCookies httpOnlyCookies="true" requireSSL="true" />    
    <customErrors mode="RemoteOnly" defaultRedirect="~/Error.aspx" />
</system.web>

<system.webServer>
    <httpProtocol>
      <customHeaders>
        <add name="X-Frame-Options" value="DENY" />
        <remove name="X-Powered-By" />
      </customHeaders>
    </httpProtocol>
    <security>
      <!--removes Azure headers-->
      <requestFiltering removeServerHeader="true" />
    </security>
</system.webServer>