azure - 删除 Azure 网站预览上的服务器和 X-Powered-By HTTP header

Question

为了安全起见，我想删除任何显示有关我的应用程序正在运行的操作系统、Web 服务器或框架的详细信息的 HTTP header 。我能够使用在 SO 和其他地方找到的文章删除所有在 IIS Express 本地显示的内容。不幸的是，当我发布到我的 Azure 网站预览版时，仍然存在三个 header :

1. 服务器:Microsoft-IIS/7.5
2. X-Powered-By:ARR/2.5
3. X-Powered-By:ASP.NET

我找到的文章是针对 Azure Web 角色而不是网站预览，例如 this one .

有人知道如何从网站预览中删除吗？

Answer 1

Windows Azure 网站是共享基础架构，您无权像在 Web 角色中那样配置 IIS。正如您所正确指出的，您可以删除这些 header :

• X-AspNet-版本
• X-AspNetMvc-版本

但留下以下内容:

• 服务器:Microsoft-IIS/7.5
• X-Powered-By:ARR/2.5
• X-Powered-By:ASP.NET

即使您实现了所有必要的步骤来抑制这些 header ，您也会从我的博客 post 中看到非法请求将由 HTTP.SYS 在内核级别处理，并返回 Microsoft-HTTPAPI/2.0 header 。您需要编辑注册表以删除此 header 。

结论是，如果您想要最终控制 IIS 和 HTTP.SYS，您需要将您的网站托管在非共享基础设施中。因此，您的选择是 Windows Azure 云服务中的 Web 角色。