21. Nginx安全管理

1. 隐藏响应的特定 header

一般从站点的 Response Header 中,我们可以获取到如下信息

Server: nginx/1.x.x
X-Powered-By: PHP/7.x.x

通过这个我们能够获取到搭设HTTP服务器的软件及版本号,以及项目代码的编写语言及版本号

如果不隐藏掉这些信息,而恰好对应的软件版本又存在公开的漏洞,一旦被有意者利用,对我们的服务就会产生很大的安全隐患

打开 conf/nginx.conf 配置文件,添加如下代码,即可隐藏掉部分敏感信息了

proxy_hide_header X-Powered-By;
server_tokens off;

需要注意的是,server_tokens off; 只能隐藏掉HTTP服务器的版本号,不支持隐藏软件名。如果想要完全隐藏掉,需要借助于第三方模块,我就没有尝试了,感兴趣的可以看下这篇教程:https://www.getpagespeed.com/server-setup/nginx/how-to-remove-the-server-header-in-nginx

专题阅读

posted on 2020-03-28 11:39  思过崖灬  阅读(340)  评论(0编辑  收藏  举报

导航