规则描述:
x-powered-By表示网站是用什么技术开发的,它会泄漏开发语言、版本号和框架等信息,有安全隐患,需要隐藏掉。
根据:
审计描述:
proxy_hide_header X-Powered-By;
修改建议:
在Nginx.conf文件中使用指令proxy_hide_header隐藏它
proxy_hide_header X-Powered-By;
expose_PHP = Off;
如果是Nginx+Tomcat架构:
1.在$tomcat/conf/server.xml文件中每一个Connector中加上xpoweredBy属性并设置为false,或者保证Connector中没有xpoweredBy
<Connector ... xpoweredBy="false" />
2.在$tomcat/conf/server.xml文件中每一个HTTP Connector中加上server属性并设置为非空值,建议设置为本机IP。
如果是Nginx+fastcgi+PHP架构,隐藏信息是无效的,需要采用以下措施:
server {
... ...
#该location段只供参考,但如果是执行PHP文件段,都可以使用fastcgi_hide_header
#隐藏X-Powered-By信息
location ~ ^/.+\.PHP(\/.*)?$ {
... ...
fastcgi_hide_header X-Powered-By ;
... ...
}
... ...
}
检测用例信息:
检测描述 |
期望结果 |
检测结果 |
检查是否配置隐藏了X-Powered-By HTTP头 |
-- |
http { proxy_hide_header ; } |
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。