[英]Does eliminating “X-Powered-By” header automatically eliminate “Server” header from HTTP response
簡而言之:Helmet不會觸及Server
標頭。
我維護頭盔並且其中沒有任何內容涉及到Server
頭部的這種或那種方式。 如果未設置標題,Helmet將不會設置它; 如果設置了標題,Helmet將不會刪除它。
據我所知,Express也沒有設置Server
標頭。 這意味着這個標頭來自其他地方,可能是服務器“在你的Express服務器前”,比如nginx。
你可以試試這樣的東西,但是如果你的服務器前面有某些東西,這可能不起作用。
app.use(function (req, res, next) {
res.removeHeader('Server');
next();
});
在我看來,刪除這些標題的安全性好處是最小的。 它阻止了一小部分攻擊者:那些查看這些標題以找出技術為您的網站提供動力,嘗試一些攻擊,然后放棄的人。 攻擊者還有其他跡象表明您的網站是Express漏洞。 他們也可能會嘗試非特定於Express的攻擊。 或者他們可能會嘗試快速攻擊,即使他們不確定它是快遞! Express的主要維護者Doug Wilson 分享了這種觀點 。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.