Categories
ASP.NET Seguridad

Eliminar la cabecera X-AspNet-Version

Eliminar la cabecera X-AspNet-Version desde Web.config

Gracias a Mads Kristensen, me entero de una forma sencilla de eliminar la cabecera X-AspNet-Version que normalmente se envía al cliente.

code:

HTTP/1.1 200 OK
Date: Mon, 02 Jul 2007 23:02:51 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET

X-AspNet-Version: 2.0.50727

Set-Cookie: ASP.NET_SessionId=f31vuhudwugmjje511e3szuy; path=/; HttpOnly
Cache-Control: private
Content-Type: text/html; charset=utf-8
Content-Length: 7391

Para evitar este comportamiento, hay que poner en false el valor del atributo enableVersionHeader del elemento httpRuntime:

xml:

<?xml version="1.0"?>
<configuration>
    <system.web>
      <httpRuntime enableVersionHeader="false"/>
    </system.web>
</configuration>

No entiendo el motivo de que enableVersionHeader esté habilitado por omisión, sabiendo que es mejor ocultar las versiones del software que se usa.

3 replies on “Eliminar la cabecera X-AspNet-Version”

Hombre, yo oculto y ofusco todo lo que puedo. Intento también evitar las instalaciones por defecto y demás. PHP también muestra la versión, y Apache, y también IIS. Yo creo que aunque a mi personalmente no me guste, está bien que muestre la versión, pues quizá puede estar orientado al desarrollo y creo que sí hace falta saber con que trabajas. Es trabajo del sysadmin poner el sistema en producción y configurarlo de la forma más óptima posible.

Por cierto, muy interesante. Es algo que siempre quise saber pero nunca miré.

En entornos de desarrollo normalmente se sabe que versiones de software se usa, así que tampoco veo la utilidad en ese caso.

En fin, como comentas, en entornos de producción se debe evitar las instalaciones/configuraciones por omisión.

Tengo un problema necesito consumir un web service creado en .NET desde la base de datos Oracle mediante un java source pero al momento de invocarlo no me devuelve lo que deberia que es HTTP/1.1 200 OK sino HTTP/1.1 100 Continue

Comments are closed.