隐藏响应中的server和X-Powered-By

• 背景

浏览器端在使用调试工具的情况下，可以看到我们站点server和X-Powered-By，会让「不法分子」知道我们网站的编程语言以及服务器信息等，这样会很危险的。(使用 chrome 的调试工具中的 network 就可以查看这些信息)

• 解决办法

  • Nginx
  • Apache
  • 隐藏X-Powered-By

---

1.nginx 隐藏 「server」 版本信息,修改nginx.conf 修改配置文件为

server_tokens off;

2.隐藏server信息，需要重新编译ngnix，进入解压出来的nginx 源码目录

vi src/http/ngx_http_header_filter_module.c

将

static char ngx_http_server_string[] = "Server: nginx" CRLF;
static char ngx_http_server_full_string[] = "Server: " NGINX_VER CRLF;

改为

static char ngx_http_server_string[] = "Server: X-Web" CRLF;
static char ngx_http_server_full_string[] = "Server:X-Web " CRLF;

重新编译nginx再看header里面Server信息变成了自定义的名字 X-Web

apache 隐藏 「server」 版本信息,修改httpd.conf 配置文件为

ServerTokens Prod

由于X-Powered-By是PHP信息，所以Nginx和Apache都是相同的方法, 修改 php.ini 文件

expose_php = Off

修改php.ini之后，需要重启服务器，否则不生效

文章目录

• 背景
• 解决办法