从IIS 7/8中的静态内容中删除服务器标头

作为努力使我们的API和网站更安全的一部分，我正在删除泄漏有关网站运行信息的标题。

剥离标题之前的示例：

HTTP/1.1 500 Internal Server Error Cache-Control: private Content-Type: text/html; charset=utf-8 Server: Microsoft-IIS/8.0 X-AspNet-Version: 4.0.30319 X-Powered-By: ASP.NET Date: Wed, 05 Jun 2013 00:27:54 GMT Content-Length: 3687 

Web.config文件：

的Global.asax.cs：

 protected void Application_PreSendRequestHeaders() { Response.Headers.Remove("Server"); Response.Headers.Remove("X-AspNet-Version"); Response.Headers.Remove("X-AspNetMvc-Version"); Response.AddHeader("Strict-Transport-Security", "max-age=300"); Response.AddHeader("X-Frame-Options", "SAMEORIGIN"); } 

之后，对网站和API的所有调用都会返回更安全的标头，如下所示：

 HTTP/1.1 500 Internal Server Error Cache-Control: private Content-Type: text/html; charset=utf-8 Date: Wed, 05 Jun 2013 00:27:54 GMT Content-Length: 3687 

到现在为止还挺好。 但是，我在Firebug中注意到，如果你查看静态内容（例如，loading.gif），它仍然包含服务器头。

 HTTP/1.1 304 Not Modified Cache-Control: no-cache Accept-Ranges: bytes Etag: "a3f2a35bdf45ce1:0" Server: Microsoft-IIS/8.0 Date: Tue, 25 Jun 2013 18:33:16 GMT 

我假设这是由IIS以某种方式处理，但无法找到任何地方删除该标头。 我试过添加：

如上所述，到Web.config中的httpProtocol / customHeaders部分。 我还尝试进入IIS管理器的HTTP响应标头部分，并为服务器标头添加假名称/值对。 在这两种情况下，它仍然会返回

 Server: Microsoft-IIS/8.0 

加载任何图像，C​​SS或JS时。 在哪里/我需要设置什么来解决这个问题？

 namespace MvcExtensions.Infrastructure { public class CustomServerName : IHttpModule { public void Init(HttpApplication context) { context.PreSendRequestHeaders += OnPreSendRequestHeaders; } public void Dispose() { } void OnPreSendRequestHeaders(object sender, EventArgs e) { HttpContext.Current.Response.Headers.Remove("Server"); } } } 

• Linq to Sql任何关键字搜索查询
• 字典与字符串列表作为值

• 如何确保我创建的filedownload是UTF-8？ （而不是没有BOM的UTF-8）
• “指定的参数超出了有效值的范围”
• 嵌套更新面板问题
• 如何确保SQL能够读取所有XML标记数据
• 通过后面的代码将silverlight加载到aspx页面
• 仅支持启用了Javascript的用户
• DropDownList与重复的数据值字段OnSelected混淆并选择第一个为什么？
• 如何测试asp.net电子邮件正在发送
• ASP.Net MVC：是否可以覆盖AuthorizeAttribute？