从响应头服务器（自托管 Http.Sys）中删除 Microsoft-HTTPAPI/2.0

Question

如何抑制或删除 HTTP 响应标头“服务器：Microsoft-HTTPAPI/2.0”？ 渗透测试表明，泄露服务器平台是一个安全漏洞。

我有一个在 Windows Server 2019 上运行的自托管 asp.net 核心 Web 应用程序，并且我使用 Http.Sys 而不是 Kestrel，因为我需要 NTML 身份验证。

根据微软的说法，响应头可以通过注册表关闭，但它对我不起作用。我已在注册表中将 DisableServerHeader 设置为 2 HTTP.SYS registry settings 并重新启动服务器。

1. 如果我不添加响应头，它将自动添加。 服务器：Microsoft-HTTPAPI/2.0
2. 如果我添加响应标头，该值将自动添加。 服务器：我的虚拟值 Microsoft-HTTPAPI/2.0

更新，我发现了问题！ 我没有正确输入参数名称，导出密钥时显示了一个空格。删除空间并重新启动服务器后，它按预期工作。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters]
"DisableServerHeader "=dword:00000002

Answer 1

似乎没有代码解决方案可以从主机上的服务器中删除 HTTP 标头。一种解决方案是编辑 Windows 注册表。

您可以添加一个注册表值，使 HTTP.sys 不包含标头。

1.打开注册表

2.导航到：Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

3.如果 DisableServerHeader 不存在，则创建它（DWORD 32bit）并将其值设置为 2。如果存在，并且值不是 2，则将其设置为 2。

4.重新启动服务器或通过调用“net stop http”然后“net start http”重新启动HTTP服务

参考：https://docs.microsoft.com/ru-ru/archive/blogs/dsnotes/wswcf-remove-server-header

Answer 2

我通过在注册表中输入正确的参数名称解​​决了这个问题。这是一个复制粘贴错误，键名有一个尾随空格。

键不再以空格结尾，一切正常。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters]
"DisableServerHeader"=dword:00000002

Answer 3

您是否尝试在 IIS

中使用 removeServerHeader 配置 requestFilter

参考：RequestFilter

默认设置为 false ，你可以设置为 true refer for more