Remover response headers do IIS

julho 28th, 2020 by franklin Leave a reply »

Seguindo as boas práticas de segurança, e recomendado esconder alguns cabeçalhos de retorno http, em que informam versões dos serviços oferecidos no servidor, como versão do IIS, do PHP e do ASP.net.

Para desativar o cabeçalho do php, altere a tag expose_php no php.ini para Off.

; Decides whether PHP may expose the fact that it is installed on the server
; (e.g. by adding its signature to the Web server header).  It is no security
; threat in any way, but it makes it possible to determine whether you use PHP
; on your server or not.
; http://php.net/expose-php
expose_php = Off

Já para remover o header ‘Server’, é possível criar uma regra com o url rewrite, no IIS, alterando o valor do RESPONSE_Server, deixando oculto ou com alguma outra informação que desejar. No exemplo abaixo, alterei o valor padrão para IIS.

<rewrite>    
  <outboundRules rewriteBeforeCache="true">
    <rule name="alteraServerHeader">
      <match serverVariable="RESPONSE_Server" pattern=".+" />
      <action type="Rewrite" value="IIS" />
    </rule>
  </outboundRules>
</rewrite>

Para remover o header ‘X-Powered-By’, que o asp.net deixa por padrão, informando que o site oferece suporte ao asp.net, é possível fazer direto na interface gráfica do IIS, da versão 8 à 10, clicando no servidor, depois em ‘HTTP response headers’ e removendo o valor X-Powered-By ASP.NET.

E por fim, para remover a versão do asp.net, também é possível fazer no IIS, clicando no servidor, depois em ‘configuration editor’, na seção altere para ‘system.web/httpRuntime’ e mude o valor da chave enableVersionHeader para False.

As dicas foram feitas com base no link abaixo
https://www.saotn.org/remove-iis-server-version-http-response-header/

Advertisement

Deixe uma resposta