セキュリティのために、アプリケーションが実行している OS、Web サーバー、またはフレームワークに関する詳細を明らかにする HTTP ヘッダーをすべて削除したいと考えています。SOや他の場所で見つかった記事を使用して、IIS Expressでローカルに表示されないようにすべてを削除できました。残念ながら、Azure Web サイトのプレビューに公開したとき、次の 3 つのヘッダーが残っていました。
私が見つけた記事は、このような Web サイト プレビューではなく、Azure Web ロールに関するものです。
Web サイトのプレビューから削除する方法を知っている人はいますか?
Windows Azure Webサイトは共有インフラストラクチャであり、Webロールの場合のようにIISを構成するためのアクセス権はありません。あなたが正しく指摘したように、あなたはこれらのヘッダーを削除することができます:
しかし、次のものが残っています:
これらのヘッダーを抑制するために必要なすべての手順を実装した場合でも、私のブログ投稿から、不正な要求がカーネルレベルでHTTP.SYSによって処理され、 Microsoft-HTTPAPI/2.0ヘッダーが返されることがわかります。このヘッダーを削除するには、レジストリを編集する必要があります。
結論として、IISとHTTP.SYSを最終的に制御したい場合は、非共有インフラストラクチャでWebサイトをホストする必要があります。したがって、オプションはWindowsAzureクラウドサービスのWebロールです。
このスレッドを確認してくださいASP.NetMVCのデフォルトのHTTPヘッダーを削除する方法は?主な回答だけでなく、以下の回答もあります。