Seguindo as boas práticas de segurança, e recomendado esconder alguns cabeçalhos de retorno http, em que informam versões dos serviços oferecidos no servidor, como versão do IIS, do PHP e do ASP.net.
Para desativar o cabeçalho do php, altere a tag expose_php no php.ini para Off.
; Decides whether PHP may expose the fact that it is installed on the server ; (e.g. by adding its signature to the Web server header). It is no security ; threat in any way, but it makes it possible to determine whether you use PHP ; on your server or not. ; http://php.net/expose-php expose_php = Off |
Já para remover o header ‘Server’, é possível criar uma regra com o url rewrite, no IIS, alterando o valor do RESPONSE_Server, deixando oculto ou com alguma outra informação que desejar. No exemplo abaixo, alterei o valor padrão para IIS.
<rewrite> <outboundRules rewriteBeforeCache="true"> <rule name="alteraServerHeader"> <match serverVariable="RESPONSE_Server" pattern=".+" /> <action type="Rewrite" value="IIS" /> </rule> </outboundRules> </rewrite> |
Para remover o header ‘X-Powered-By’, que o asp.net deixa por padrão, informando que o site oferece suporte ao asp.net, é possível fazer direto na interface gráfica do IIS, da versão 8 à 10, clicando no servidor, depois em ‘HTTP response headers’ e removendo o valor X-Powered-By ASP.NET.
E por fim, para remover a versão do asp.net, também é possível fazer no IIS, clicando no servidor, depois em ‘configuration editor’, na seção altere para ‘system.web/httpRuntime’ e mude o valor da chave enableVersionHeader para False.
As dicas foram feitas com base no link abaixo
https://www.saotn.org/remove-iis-server-version-http-response-header/