问题描述
希望你们一切顺利。
我有一个查询,所以我在我的 windows Apache httpd.conf 文件中添加了以下行,并带有以下标签:-
服务器签名关闭,
ServerTokens 产品、
关闭主机名查找、
TraceEnable 关闭
并且我通过使用 curl -I
获得了像 Server: Apache 一样的以下 O/P实际上我正在寻找像 Server: UnkNown 或 Server:""
这样的 O/P注意:- 这里我的 windows Apache 版本是 服务器版本:Apache/2.4.46 (Win64)
请在这里帮助我如何隐藏此服务器信息,因为它对我们的实例构成安全威胁。
谢谢
解决方法
阿帕奇说:
另请注意,禁用 Server: 标头根本不会使您的服务器更安全。 “通过默默无闻来确保安全”的想法是一个神话,会导致错误的安全感。
您需要修改源代码,或安装 mod_security,然后您可以添加:
SecRuleEngine On
SecServerSignature Unknown
您可以修改源代码如下:How to change Apache's 'Server:' header without mod_security?
通过编辑源删除服务器标题:https://stackoverflow.com/a/66667833/12154890 编辑源代码可能是完全删除 Server: 标头的唯一方法。
由于您使用的是 windows,如果您无法安装 mod_security 或重新编译等附加模块,则无法将其删除。