出于安全原因,我需要删除(是的!,我真的需要删除,删除或隐藏)Apache签名。
我使用ServerSignature n' ServerTokens指令,但只隐藏了版本...
ServerSignature Off
ServerTokens Prod
结果是:
Name :Value
Date :Mon, 15 Jun 2015 11:47:28 GMT
Content-Encoding :gzip
Last-Modified :Sun, 14 Jun 2015 00:01:37 GMT
Server :Apache
ETag :"6176c-28f4-5186f0b8c3bb0"
Vary :Accept-Encoding,User-Agent
Content-Type :text/xml; charset=utf-8
Cache-Control :max-age=1
Accept-Ranges :bytes
Content-Length :1531
Expires :Mon, 15 Jun 2015 11:47:29 GMT
看这个
Server Apache
我需要(没有http标头"服务器:Apache"):
Name Value
Date Mon, 15 Jun 2015 11:47:28 GMT
Content-Encoding gzip
Last-Modified Sun, 14 Jun 2015 00:01:37 GMT
ETag "6176c-28f4-5186f0b8c3bb0"
Vary Accept-Encoding,User-Agent
Content-Type text/xml; charset=utf-8
Cache-Control max-age=1
Accept-Ranges bytes
Content-Length 1531
Expires Mon, 15 Jun 2015 11:47:29 GMT
谢谢!
很抱歉 Apache 团队,但这次不能展示你的 签名。
核心发行版不允许将其删除。在插件中做是微不足道的。mod_security允许您将其配置为剥离。
这应该是一个评论,但它有点长....
For security reason, i need remove...Apache signature - 即使从服务器标头以外的数据来看,也很明显这是一个 Apache 服务器(或者对一个服务器有很好的印象的东西)。
根据对security.stackexchange的讨论,我不认为从软件中删除横幅有任何安全优势。除了标头中的信息外,我还可以从默认错误消息、服务器如何处理内容协商、条件请求......每次我查看相关问题时,列表都会变长。
我还没有看到任何证据表明禁用横幅对网站安全有任何影响(而不是允许审核员勾选清单中的框)。但如果有人可以提供参考,我将非常有兴趣听到。