半强迫症的我,为了安全性(然并卵)和节流(就小小的一点点)考虑,需要对生产环境的服务器头信息进行隐藏,下面列出常用的修改及配置
隐藏nginx版本号
修改nginx.conf文件 在http配置项中增加
server_tokens off;
隐藏apache版本号
修改httpd.conf 设置
ServerSignature Off
ServerTokens Prod
ServerSignature Off 告诉Apache在错误页(HTTP Status 404之类)不显示服务器版本信息,但此选项不影响可正常访问的页面(HTTP Status 200之类)。正常访问网页的Server Header里面依然有服务器版本信息。
ServerTokens Prod 告诉Apache在服务器头信息中(Server Header)中只返回Apache,不返回服务器操作系统与Apache的版本信息
隐藏php版本信息
修改php.ini,关闭下列配置项expose_php = Off
屏蔽php彩蛋
编辑.htaccess如下
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]
RewriteRule .* - [F]
隐藏express框架信息
在app.js中编写
app.disable("x-powered-by");
其他语言的后续将陆续增加