隐藏 HTTP 响应头中 Server 和 X-Power-By 信息

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了隐藏 HTTP 响应头中 Server 和 X-Power-By 信息相关的知识,希望对你有一定的参考价值。

参考技术A 在浏览网页时,通过开发者工具可以查看一些 HTTP 传输时的信息,比如说响应头部的信息。

一些网站的 Response Headersb 部分会有 Server 和 X-Powered-By 数据项的值,通过这些值我们可以得到部分信息。比如说使用的 nginx 1.17.3 版本,以及使用了 php 7.3.10 语言。暴露这些信息可能会对网站的安全性有影响,所以很多的网站都会隐藏这些信息。
接下来介绍一下如何隐藏或修改这些信息,很简单的几步就可以实现了!

关闭 X-Powered-By:
在 php.ini 中找到 expose_php 选项,将值修改为 Off 即可隐藏。

隐藏 Nginx 版本号:
在 Nginx 配置文件中加入即可

修改完后重启 Nginx 和 PHP-FPM

X-Powered-By 数据项未展示,Server 数据项的值为 nginx。
如果想将 server 的值进行自定义,需要在编译的时候进行配置,这里就不介绍了。

文章同步发布在我的个人博客中,传送门 Hesunfly Blog

如何在HTTP头中隐藏PHP版本号

PHP 配置默认允许服务器在 HTTP 响应头 X-Powered-By 中显示安装在服务器上的 PHP 版本。出于服务器安全原因(虽然不是主要的要担心的威胁),建议你禁用或隐藏此信息,避免那些针对你的服务器的攻击者知道你是否运行了 PHP。在本文中,我们将解释如何隐藏或关闭服务器 HTTP 响应头中的 PHP 版本号。

技术分享

PHP 配置默认允许服务器在 HTTP 响应头 X-Powered-By 中显示安装在服务器上的 PHP 版本。

出于服务器安全原因(虽然不是主要的要担心的威胁),建议你禁用或隐藏此信息,避免那些针对你的服务器的攻击者知道你是否运行了 PHP。

假设你服务器上安装的特定版本的 PHP 具有安全漏洞,而攻击者了解到这一点,他们将更容易利用漏洞并通过脚本访问服务器。

在我以前的文章中,我已经展示了如何隐藏 apache 版本号,你已经看到如何不再显示 apache 的安装版本。但是如果你在你的 apache 服务器上运行 PHP,你还需要隐藏 PHP 的安装版本,这我们将在本文中展示。

因此,在本文中,我们将解释如何隐藏或关闭服务器 HTTP 响应头中的 PHP 版本号。

此设置可以在加载的 PHP 配置文件中配置。如果你不知道此配置文件在服务器上的位置,请运行以下命令找到它:

  1. $ php -i | grep "Loaded Configuration File" 

PHP 配置文件位置

  1. ---------------- 在 CentOS/RHEL/Fedora 上----------------  
  2. Loaded Configuration File => /etc/php.ini 
  3. ---------------- 在 Debian/Ubuntu/Linux Mint 上----------------  
  4.  Loaded Configuration File => /etc/php/7.0/cli/php.ini 

在对 PHP 配置文件进行任何更改之前,我建议您首先备份您的 PHP 配置文件,如下所示:

  1. ----------------在 CentOS/RHEL/Fedora 上----------------  
  2. $ sudo cp /etc/php.ini /etc/php.ini.orig 
  3. ---------------- 在 Debian/Ubuntu/Linux Mint 上----------------  
  4. $ sudo cp /etc/php/7.0/cli/php.ini  /etc/php/7.0/cli/php.ini.orig   

用你最喜欢的编辑器,使用超级用户权限打开文件:

  1. ---------------- 在 CentOS/RHEL/Fedora 上----------------  
  2. $ sudo vi /etc/php.ini 
  3. ----------------在 Debian/Ubuntu/Linux Mint 上----------------  
  4. $ sudo vi /etc/php/7.0/cli/php.ini 

定位到关键词 expose_php,并将值设置成 Off:

  1. expose_php = Off 

保存并退出文件。之后,重启 web 服务器:

  1. ---------------- 使用 SystemD ----------------  
  2. $ sudo systemctl restart httpd 或 
  3. $ sudo systemctl restart apache2  
  4. ---------------- 使用 SysVInit ----------------  
  5. $ sudo service httpd restart 或 
  6. $ sudo service apache2 restart 

最后,不过同样重要,使用下面的命令检查服务器 HTTP 响应头是否仍然显示你的 PHP 版本号。

  1. lynx -head -mime_header http://localhost  
  2. 或者 
  3. $ lynx -head -mime_header http://server-address 

这里的标志含义是:

  • -head – 发送一个请求 mime 报头的 HEAD 请求。
  • -mime_header – 打印所提取文档的 MIME 标头及其源代码。

注意: 确保你系统中已经安装了命令行 web 浏览器 lynx

就是这样了!在本文中,我们解释了如何隐藏服务器 HTTP 响应头中的 PHP 版本号以保护 web 服务器免受可能的攻击。你可以在下面的评论栏中留下你的想法或者相关的问题。

以上是关于隐藏 HTTP 响应头中 Server 和 X-Power-By 信息的主要内容,如果未能解决你的问题,请参考以下文章

隐藏网站服务器响应头中 PHP 版本信息

http响应头中的X-Frame-Options防止被frame

Http消息头中常用的请求头和响应头

协议分析HTTP响应头中的2种编码方式介绍

Django + Vuejs 无法从响应头中获取 Csrftoken

隐藏响应的server,X-Powered-By