[IIS] 隱藏 Server, X-Powered-By, X-AspNet-Version 標頭

發表於 2021-06-15 分類於學習筆記閱讀次數：

暴露太多關於伺服器的資訊，會增加資通安全的風險，倘若伺服器使用的版本不幸出現嚴重漏洞，馬上就會成為駭客的目標，因此學會如何藏匿伺服器的相關資訊是非常重要的。

前言

環境

Windows 10
IIS 10.0

隱匿資訊

隱藏 Server 欄位

在 Web.config 內的 system.webServer 節點下，加入 security

<system.webServer>
    <security>
        <requestFiltering removeServerHeader="true" />
    </security>
</system.webServer>

隱藏 X-Powered-By 欄位

在 Web.config 內的 system.webServer 節點下，加入 httpProtocol

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <remove name="X-Powered-By" />
        </customHeaders>
    </httpProtocol>
</system.webServer>

隱藏 X-AspNet-Version 欄位

在 Web.config 內的 system.web 節點下，加入 httpRuntime

1
2
3

<system.web>
    <httpRuntime targetFramework="4.6.1" enableVersionHeader="false" />
</system.web>