防止暴露服务端技术之关闭X-Powered-By

于 2022-04-29 10:42:27 发布
阅读量892 收藏
点赞数
分类专栏: nodejs 文章标签: node.js javascript npm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kratial/article/details/124475154
版权

防止暴露服务端技术,比如隐藏X-Powered-By(在服务器响应头中隐藏),这里使用的是中间件函数helmet:
1.未使用时,效果如下:
在这里插入图片描述
使用方式:app.use(helmet())

const express= require("express")
const helmet = require('helmet')
const app = express()
function allowOrigin (req,res,next){
  res.setHeader('Access-Control-Allow-Origin', '*')
  res.setHeader('Access-Control-Allow-Headers', '*')
  res.setHeader('Access-Control-Allow-Methods', 'PUT,GET,DELETE','OPTIONS')
  next()
}
// 隐藏服务端所使用的技术
app.use(helmet())
app.use(allowOrigin)
app.use('/api/getInfo',function(req,res){
  let obj = {
    id: 1111,
    name: '易烊千玺'
  }
  res.send(obj)
})
app.listen('9999', function() {
  console.log('the server is running at 9999 port');
})

在nodejs中使用时效果如下:
在这里插入图片描述

Kratial
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
单点登录服务端项目cas-server
07-05
单点登录服务端项目cas-server 单点登录服务端项目cas-server 单点登录服务端项目cas-server 单点登录服务端项目cas-server 单点登录服务端项目cas-server 单点登录服务端项目cas-server 单点登录服务端项目cas-...
minecraft服务端Paper-1.18.2
02-03
Paper是Spigot的优化增强, 基本是插件服的必选端, 优化强, 兼容上面的插件,在相关算法方面,较 Spigot 有所提高,优化 TPS 等,支持 CraftBukkit 和 Spigot 插件,API 没有太大修改。
Tomcat优化设置
睨噷蹇蜣的博客
12-17 445
一. .修改 jvm 为 server 版 在命令行 java -version 可以看到 jvm 配置的是哪个版本。 编辑 %JAVA_HOME%\jre\lib\i386\jvm.cfg ,把第二行的 -server KNOWN 放到第一行 二、调整参数 修改 server.xml maxThreads 可创建的最大的线程数。 acceptCount 指定当所有可以使用的处理请求的线程数都被...
001.服务器信息泄露X-Powerd-By
wrnie的博客
08-05 1739
1.问题描述:服务器信息泄露: X-Powered-By Servlet/2.5 JSP/2.1       2.针对Webloigc服务器修复办法:         进入Webloigc控制台,选择base_domain->Web应用程序中的X-Powerd-By标头,将值修改为“将不发送X-Powerd-By标头"。修改后,需要重启Weblogic控制台和所有的...
隐藏响应的server,X-Powered-By
峰之流觞的博客
05-21 8133
隐藏响应的server,X-Powered-By隐藏X-Powered-By修改 php.ini 文件 设置 expose_php = Offapache 隐藏 server修改httpd.conf 设置 ServerSignature OffServerTokens Prodnginx 隐藏 server修改nginx.conf  在http里面设置 server_tokens off;...
java里面By_java – 覆盖X-Powered-By HTTP标头
weixin_39756481的博客
02-28 599
根据某些安全性要求,必须将X-Powered-By标头设置为空字符串.我一直在尝试在过滤器中设置标头但是当我查看Firebug中的标头时,我看到我的过滤器设置的自定义标头值附加了JSF / 1.2.Filter是请求链中的第一个,隐式地是响应链中的最后一个.下面是我在doFilter方法中编写的示例代码.public void doFilter(ServletRequest request, Se...
隐藏web响应中的server和X-Powered-By
清风徐来的博客
07-06 1448
例如在谷歌浏览器下,F12触发此页面,会显示我们站点的nginx、php、或者apache版本号,为了站点安全性,我们应该将这些版本号全部关掉不可见。 这时候,我们就可以判断当前网站是在 Windows 系统, Apache服务下,编程语言为 php。这样就暴露了很多信息,对于网站来说是不安全的。在大多数情况下,需要把这两项给隐藏掉。 1、隐藏X-Powered-B...
X-Protected-By和X-XSS-Protection
Reset
05-02 1571
1.X-Protected-By:OpenRASP 这个 Header 用于检查服务器是否安装了 OpenRASP,可以关闭。 openRASP是一个百度的安全框架,将其集成到我们的web项目中,就像是给web项目安装了一款“安全管家”的软件,它可以检测到攻击,并进行拦截。 OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接...
SVN服务端(VisualSVN-Server-3.9.0-x64)
07-25
SVN服务端(VisualSVN-Server-3.9.0-x64) SVN服务端(VisualSVN-Server-3.9.0-x64) 直接使用
服务端技术 - Server-side Push 多示例
04-24
服务端技术,也称为Server-side Push,是一种网络通信模式,允许服务器主动向客户端推送数据,而无需客户端发起请求。这种技术在实时性要求较高的应用中尤为重要,如在线聊天、实时股票更新、游戏同步等。在传统的...
基于Java的CCMS校园一卡通管理系统服务端设计源码 - CCMS-service
最新发布
05-29
本源码提供了一个基于Java的CCMS校园一卡通管理系统服务端的设计。...该项目是一个校园一卡通管理系统,旨在为用户提供一个高效、便捷的服务端解决方案,通过Java技术实现,以提升用户体验和操作便捷性。
res.setHeader()和res.writeHead()
秋霜梦红尘的博客
05-06 3237
res.setHeader()和res.writeHead() 事先声明: 这是我自己得出来的结论,如有不对,还望告知 ???? 在node.js中,http协议如果不设置响应头,中文的话在客户端浏览器是会乱码的,那么设置响应头的目的是什么,又如何设置响应头? 目的是为了告诉浏览器我发送的数据是什么类型的,你应该用什么格式来编码显示。如果不设置,会自动生成一个响应头,但中文的话浏览器会乱码。 在http...
中间件Apache/JBoss 隐藏服务器版本信息
lefooter的博客
03-03 1824
在一般情况下,我们可以在http header里看到服务器构建的信息,如: Server : Apache/2.0.61 (Unix) X-Powered-By : Servlet 2.4; JBoss-4.0.4.GA (build: CVSTag=JBoss_4_0_4_GA date=200605151000)/Tomcat-5.5 这可能存在一些麻烦,如果让人知道软件版本,特别是在软件有b...
隐藏X-Powered-By,不显示网站开发语言
是日已过,命亦随减的博客
06-30 790
参考: https://blog.csdn.net/qq_27517377/article/details/97376737?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162503530616780255245703%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=162503530616780255245703&biz_id
Response Header里的Server,X-Powered-By,X-AspNet-Version字段等敏感信息删除
amx_006的博客
11-28 6001
Response Header里的Server,X-Powered-By,X-AspNet-Version字段等敏感信息删除 目录 Web应用安全之Response Header 前言 1.1那些敏感的header 1.2删除敏感的header 1.2.1删除server字段 1.2.2删除X-Powered-By字段 1.2.3删除X-AspNet-Version字段 1.2.4删除X-AspNetMvc-Version 前言 通过抓包工具burp...
快速了解helmet的使用
weixin_34367257的博客
11-01 2796
Helmet是什么? helmet是express的中间件,通过设置各种header来为express应用提供安全保护。虽然不能完全杜绝安全问题,但确实能提供某种程度的保护。 快速上手 helmet的使用非常简单。首先使用npm安装helmet: npm install helmet --save 复制代码其次在express应用中使用该中间件: const express = require('...
隐藏nginx版本号,隐藏X-Powered-By
或非与博客
07-26 8675
隐藏Server的信息,Nginx版本号,在nginx.conf http段加上server_tokens off就可以隐藏掉nginx的版本号 http { include mime.types; default_type application/octet-stream; sendfile on; keepalive_tim...
在HTTP请求的header头里面,为什么有的时候有X-Powered-By这个值,有的时候没有呢?
Misslay's
09-05 8174
x-powered-by不是Apache或者Nginx输出的,而是由语言解析器或者应用程序框架输出的, 这个值的意义用于告知网站是用何种语言或框架编写的。 例如: php PHP标准输出是:X-Powered-By: PHP/5.2.1 ,可在php.ini中增加或修改 expose_php = Off关闭。 thinkphp 而使用了ThinkPHP,会输出:X-Powered-By: T
隐藏服务器端信息X-Powered-By: Servlet/3.0
由入门到精通
08-20 4659
X-Powered-By: Servlet/3.0 Content-Type: text/html; charset=UTF-8 X-Powered-By头信息泄露了服务器端信息,导致攻击者更容易用服务器端的漏洞针对性攻击。 应用部署是由web服务器中间件apache和应用服务器中间件websphere组成。 需要修改webpshere的配置:com.ibm.ws.webcontai...
Qt服务端设置Access-Control-Allow-Origin
03-06
在Qt服务端设置Access-Control-Allow-Origin是为了解决跨域请求的问题。跨域请求是指在浏览器中,当一个网页向不同域名、不同端口或不同协议的服务器发送请求时,会被浏览器拦截,这是出于安全考虑。 要设置Access-Control-Allow-Origin,可以通过在服务端响应头中添加相应的字段来实现。具体步骤如下: 1. 在Qt服务端代码中,找到处理请求的地方,通常是在处理HTTP请求的函数中。 2. 在响应头中添加Access-Control-Allow-Origin字段,并设置其值为允许跨域请求的源地址。例如,如果允许所有来源进行跨域请求,可以将其值设置为"*";如果只允许特定的域名进行跨域请求,可以将其值设置为该域名。 3. 保存并重新编译运行Qt服务端代码。 下面是一个示例代码片段,展示了如何在Qt服务端设置Access-Control-Allow-Origin: ```cpp void MyServer::handleRequest(QHttpRequest *req, QHttpResponse *res) { // 设置响应头 res->setHeader("Access-Control-Allow-Origin", "*"); // 处理请求... } ``` 这样设置之后,浏览器在发送跨域请求时就会收到服务端返回的Access-Control-Allow-Origin字段,并根据其值判断是否允许该跨域请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值