nginx隐藏 X-Powered-By HTTP头
规则描述:
x-powered-By表示网站是用什么技术开发的,它会泄漏开发语言、版本号和框架等信息,有安全隐患,需要隐藏掉。
根据:
审计描述:
检查nginx.conf文件,是否存在以下配置:
proxy_hide_header X-Powered-By;
修改建议:
在nginx.conf文件中使用指令proxy_hide_header隐藏它
proxy_hide_header X-Powered-By;
如果使用的php语言,需要在php.ini中添加
expose_php = Off;
如果是Nginx+Tomcat架构:
1.在$tomcat/conf/server.xml文件中每一个Connector中加上xpoweredBy属性并设置为false,或者保证Connector中没有xpoweredBy
<Connector ... xpoweredBy="false" />
2.在$tomcat/conf/server.xml文件中每一个HTTP Connector中加上server属性并设置为非空值,建议设置为本机IP。
如果是Nginx+fastcgi+php架构,隐藏信息是无效的,需要采用以下措施:
server {
... ...
#该location段只供参考,但如果是执行php文件段,都可以使用fastcgi_hide_header
#隐藏X-Powered-By信息
location ~ ^/.+\.php(\/.*)?$ {
... ...
fastcgi_hide_header X-Powered-By ;
... ...
}
... ...
}
检测用例信息:
检测描述 |
期望结果 |
检测结果 |
检查是否配置隐藏了X-Powered-By HTTP头 |
-- |
http { proxy_hide_header ; } |