从ASP.NET Core 2.1应用程序中删除“服务器”头

Kestrel服务器头在请求管道中添加得太晚。因此,不可能通过web.config或中间件删除它。

您可以通过设置 AddServerHeader property false 在 KestrelServerOptions

    public static IWebHostBuilder CreateWebHostBuilder(string[] args) =>
        WebHost.CreateDefaultBuilder(args)
            .UseKestrel(options => options.AddServerHeader = false)
            .UseStartup<Startup>();

此解决方案适用于iis10+版本,并允许删除 x-powered-by 和 server 服务器响应中的标头。

removeServerHeader

我们需要创造 web.config

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.webServer>
    <security>
      <requestFiltering removeServerHeader="true" />
    </security>
    <httpProtocol>
      <customHeaders>
        <remove name="X-Powered-By" />
      </customHeaders>
    </httpProtocol>
  </system.webServer>
</configuration>

然后在IIS上发布应用程序并重新启动站点。

对于那些尝试执行相同操作(删除Kestrel web Server添加的服务器响应头)但使用ASP.NET core 2.2的用户,应该使用扩展方法 配置Kestrel ( https://docs.microsoft.com/en-us/dotnet/api/microsoft.aspnetcore.hosting.webhostbuilderkestrelextensions.configurekestrel?view=aspnetcore-2.2#Microsoft_AspNetCore_Hosting_WebHostBuilderKestrelExtensions_ConfigureKestrel_Microsoft_AspNetCore_Hosting_IWebHostBuilder_System_Action_Microsoft_AspNetCore_Server_Kestrel_Core_KestrelServerOptions__

对于Dotnet Core 3.1 UseKestrel 是的一部分 ConfigureWebHostDefaults CreateDefaultBuilder 在早期版本中。

public static IHostBuilder CreateHostBuilder(string[] args) =>
    Host.CreateDefaultBuilder(args)
        .ConfigureWebHostDefaults(webBuilder =>
        {
            webBuilder.UseStartup<Startup>()
                      .UseKestrel(options => options.AddServerHeader = false);
        });