消除“X-Powered-By”標頭會自動消除HTTP響應中的“Server”標頭
[英]Does eliminating “X-Powered-By” header automatically eliminate “Server” header from HTTP response
1 個解決方案
解決方案1
0 2016-12-29 16:28:09
簡而言之:Helmet不會觸及Server標頭。
我維護頭盔並且其中沒有任何內容涉及到Server頭部的這種或那種方式。 如果未設置標題,Helmet將不會設置它; 如果設置了標題,Helmet將不會刪除它。
據我所知,Express也沒有設置Server標頭。 這意味着這個標頭來自其他地方,可能是服務器“在你的Express服務器前”,比如nginx。
你可以試試這樣的東西,但是如果你的服務器前面有某些東西,這可能不起作用。
app.use(function (req, res, next) {
res.removeHeader('Server');
next();
});
在我看來,刪除這些標題的安全性好處是最小的。 它阻止了一小部分攻擊者:那些查看這些標題以找出技術為您的網站提供動力,嘗試一些攻擊,然后放棄的人。 攻擊者還有其他跡象表明您的網站是Express漏洞。 他們也可能會嘗試非特定於Express的攻擊。 或者他們可能會嘗試快速攻擊,即使他們不確定它是快遞! Express的主要維護者Doug Wilson 分享了這種觀點 。
如何在 create-react-app 中禁用“X-Powered-By”響應標頭?
[英]How to disable "X-Powered-By" response header in create-react-app?
如何從 angular cli 項目中的 proxy-conf.js 文件中刪除 X-Powered-By 標頭
[英]How to remove X-Powered-By header from proxy-conf.js file in angular cli project
如何在Sails.js應用程序中禁用或替換X-Powered-By標頭
[英]How to disable or replace X-Powered-By header in Sails.js application
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
expressjs:禁用“x-powered-by”header
如何在 create-react-app 中禁用“X-Powered-By”響應標頭?
為什么使用頭盔后 X-Powered-By Header 沒有被禁用?
擺脫不了 header X-Powered-By:Express
如何從 angular cli 項目中的 proxy-conf.js 文件中刪除 X-Powered-By 標頭
如何在Sails.js應用程序中禁用或替換X-Powered-By標頭
X-frame-Options Http 響應 Header 不起作用
無法禁用X-Powered-By:Express
在angularjs中讀取HTTP服務器頭響應消息
如何在瀏覽器中存儲服務器HTTP響應標頭?
相關標簽