Suppression des en-têtes HTTP Server et X-Powered-By sur Azure Web Site Preview

Question

Pour des raisons de sécurité, je veux supprimer tous les en-têtes HTTP qui révèlent des détails sur le système d'exploitation, le serveur Web ou le framework que mon application exécute. J'ai pu les supprimer de l'affichage local avec IIS Express en utilisant les articles trouvés sur SO et ailleurs. Malheureusement, lorsque j'ai publié un aperçu de mon site Web Azure, trois en-têtes sont restés :

1. Serveur : Microsoft-IIS/7.5
2. X-Powered-By : ARR/2.5
3. X-Powered-By : ASP.NET

Les articles que j'ai trouvés concernent les rôles Web Azure au lieu de l'aperçu du site Web, par exemple celui-ci .

Quelqu'un sait-il comment supprimer l'aperçu du site Web ?

Answer 1

Les sites Web Windows Azure sont des infrastructures partagées et vous n'avez pas accès à la configuration de IIS comme vous le faites dans un rôle Web. Comme vous l'avez correctement indiqué, vous pouvez supprimer ces en-têtes :

• X-AspNet-Version
• X-AspNetMvc-Version

mais on se retrouve avec ce qui suit :

• Serveur : Microsoft-IIS/7.5
• X-Powered-By : ARR/2.5
• X-Powered-By : ASP.NET

Même si vous mettez en œuvre toutes les mesures nécessaires pour supprimer ces en-têtes, vous verrez sur mon blog poste que les demandes illégales seront traitées par HTTP.SYS au niveau du noyau, qui renverra la valeur Microsoft-HTTPAPI/2.0 en-tête. Vous devez modifier le registre pour supprimer cet en-tête.

La conclusion est que si vous voulez avoir le contrôle ultime de IIS et de HTTP.SYS, vous devrez héberger votre site Web dans une infrastructure non partagée. Votre option est donc un rôle Web dans un service en nuage Windows Azure.

Answer 2

C'est désormais possible . Voir aussi Supprimer l'en-tête de réponse du serveur IIS7

Answer 3

Consultez ce fil de discussion Comment supprimer les en-têtes HTTP par défaut d'ASP.Net MVC ? et non seulement la réponse principale, mais aussi les réponses ci-dessous.