私の現在のプロジェクトの「強化」サイクルをたった今、次のヘッダーを削除するためのHTTPModuleを含む私たちが取ったアプローチについてブログに書きました:
サーバー、
X-AspNet-Version、
X-AspNetMvc-Version、
X-Powered-By
関連する部分を以下に複製します。
ただし、構成を介してサーバー応答ヘッダーを削除する簡単な方法はありません。幸いなことに、IIS7には、プラグイン可能なマネージモジュールインフラストラクチャがあり、その機能を簡単に拡張できます。以下は、指定されたHTTP応答ヘッダーのリストを削除するためのHttpModuleのソースです。
namespace Zen.Core.Web.CloakIIS
{
#region Using Directives
using System;
using System.Collections.Generic;
using System.Web;
#endregion
/// <summary>
/// Custom HTTP Module for Cloaking IIS7 Server Settings to allow anonymity
/// </summary>
public class CloakHttpHeaderModule : IHttpModule
{
/// <summary>
/// List of Headers to remove
/// </summary>
private List<string> headersToCloak;
/// <summary>
/// Initializes a new instance of the <see cref="CloakHttpHeaderModule"/> class.
/// </summary>
public CloakHttpHeaderModule()
{
this.headersToCloak = new List<string>
{
"Server",
"X-AspNet-Version",
"X-AspNetMvc-Version",
"X-Powered-By",
};
}
/// <summary>
/// Dispose the Custom HttpModule.
/// </summary>
public void Dispose()
{
}
/// <summary>
/// Handles the current request.
/// </summary>
/// <param name="context">
/// The HttpApplication context.
/// </param>
public void Init(HttpApplication context)
{
context.PreSendRequestHeaders += this.OnPreSendRequestHeaders;
}
/// <summary>
/// Remove all headers from the HTTP Response.
/// </summary>
/// <param name="sender">
/// The object raising the event
/// </param>
/// <param name="e">
/// The event data.
/// </param>
private void OnPreSendRequestHeaders(object sender, EventArgs e)
{
this.headersToCloak.ForEach(h => HttpContext.Current.Response.Headers.Remove(h));
}
}
}
必ずアセンブリに署名してから、WebサーバーのGACにインストールし、アプリケーションのweb.config(またはグローバルに適用する場合はmachine.config)に次の変更を加えるだけです。
<configuration>
<system.webServer>
<modules>
<add name="CloakHttpHeaderModule"
type="Zen.Core.Web.CloakIIS.CloakHttpHeaderModule, Zen.Core.Web.CloakIIS,
Version=1.0.0.0, Culture=neutral, PublicKeyToken=<YOUR TOKEN HERE>" />
</modules>
</system.webServer>
</configuration>