360网站安全检测解决方案

关于360网站安全检测的修复问题，早在之前就想统一的写一篇文章，但是一直没时间弄，也不是真的没时间，可能还是因为懒吧，所以今后还得勤快一点，所以简单的整理了一下教程，发布出来。

首先：

先解决 [轻微]IIS版本号可以被识别，关于此漏洞的修复方案如下：

1.在IIS配置文件中进行修改。

借助IIS URL Rewrite Module，添加如下的重写规则：

<rewrite>
        <allowedServerVariables>
            <add name="REMOTE_ADDR" />
        </allowedServerVariables>            
        <outboundRules>
            <rule name="REMOVE_RESPONSE_SERVER">
                <match serverVariable="RESPONSE_SERVER" pattern=".*" />
                <action type="Rewrite" />
            </rule>
        </outboundRules>
</rewrite>

重写规则存放在C:\Windows\System32\inetsrv\config\applicationHost.config中。

2. 移除X-AspNet-Version

在web.config的<httpRuntime>中添加enableVersionHeader="false"：

<httpRuntime enableVersionHeader="false" />

3. 移除X-AspNetMvc-Version

在 Application_Start() 中添加如下代码：

protected void Application_Start() 
{ 
    MvcHandler.DisableMvcResponseHeader = true; 
}

4. 移除X-Powered-By

在IIS Manager的HTTP Response Headers中移除X-Powered-By：