为什么不删除Server和X-Powered-By标头？

我不确定为什么你的X-Powered-By没有被删除，但今年早些时候的Windows Update补丁使得Application_PreSendRequestHeaders修复不再为我们删除Server:标题。

我们必须使用system.webServer在我们的IIS URL Rewrite Module 2块（在Web.config中）添加一个部分：

<rewrite>
    <outboundRules>
        <rule name="Remove RESPONSE_Server">
            <match serverVariable="RESPONSE_Server" pattern=".+"/>
            <action type="Rewrite" value=""/>
        </rule>
    </outboundRules>
</rewrite>

如果您使用IIS 7将Global.asax中的DisableMvcResponseHeader属性设置为true，则应删除“X-Powered-By”标题

protected void Application_Start()
{
    MvcHandler.DisableMvcResponseHeader = true;
}

主要是服务器IIS不允许我们删除服务器标签。您可以尝试使用以下代码来实现目标。添加Global.asax

protected void Application_PreSendRequestHeaders()
{
    Response.Headers.Remove("X-AspNet-Version");
     HttpContext.Current.Response.Headers.Set("Server", "");
 }

此代码将删除您的“X-AspNet-Version”并将Server值设置为空白。

通常通过简单的web.config配置删除X-Powered-By:ASP.NET：

<configuration>
  <system.webServer>
    <httpProtocol>
      <customHeaders>
        <remove name="X-Powered-By" />
...

ARR不受此配置的影响，必须通过IIS管理器，IIS根目录上的编辑器配置（不在站点上）删除：转到system.webServer/proxy节点并将arrResponseHeader设置为false。在IISReset之后，它被考虑在内。 我发现这个here，除了这篇文章是关于旧的IIS 6.0配置的方式。

因此，对于您的情况，如果无法访问IIS设置，则必须要求服务器所有者调整其配置。或者尝试Url Rewrite solution但当然，使用HTTP_X_Powered_By服务器变量。它最多只会删除标题，我还没有检查它是否适用于ARR情况。