博客园  :: 首页  :: 管理

对于nginx作为web/http服务器发布了一个网站时,外部用户就可以通过浏览器进行访问到

默认情况下,如果外部用户,访问了一个不存在的资源时,就会返回404错误,如下图所示

这里我们可以发现在返回404错误时,下面居然也输出了web服务器(nginx)及其版本号1.22.1

当然从 Response Headers 中也可以看到:Server: nginx/1.22.1

这个提示也许有用是友好的,但是从信息安全的角度来说,却是一个信息暴露风险

如果暴露版本信息,有可能黑客可以通过版本信息,得知该版本存在的漏洞,进而对服务器进行攻击

攻击的最开始往往就是信息的收集与探测,因此从安全的角度来说、笔者是很建议隐藏nginx的版本号信息的

隐藏方法:直接修改其配置文件 nginx.conf ,在http {} 或者 server {} 段中添加如下一行信息即可

server_tokens off;

说明与建议:如果在http段中修改是比较好的、那样针对所有的server段都是有效的了

此时我们通过上面的方式,就只能看到nginx信息,而没有版本号信息了 ,如果还希望也将nginx这个信息也进行隐藏,笔者将在后续的文章中单独说明方法

 

 

 

尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17338524.html

 

Server:
nginx/1.22.1