建築 REST API - 長 header

Question

我正在構建一個 API .. 但與其他“API”相比，我認為我的服務器發送了相當長的 header ..

HTTP/1.1 200 OK
Date: Thu, 30 Jun 2011 19:51:22 GMT
Server: Apache/2.2.16 (Debian)
X-Powered-By: PHP/5.3.3-7+squeeze1
Set-Cookie: PHPSESSID=dv1nrjrd47qurff4u9tn8afa84; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Vary: Accept-Encoding
Content-Length: 0
Connection: close
Content-Type: text/html

只是想知道在安全方面是否有任何缺點？

編輯

耶..！ 現在我到了這個

HTTP/1.1 200 OK
Date: Thu, 30 Jun 2011 20:51:18 GMT
Server: Apache
Content-Length: 0
Connection: close
Content-Type: application/json

Answer 1

將這些額外的 header 發送給客戶端在性能方面沒有明顯的劣勢。 客戶端不應緩存 web 服務調用返回的響應，因為客戶端通常不是瀏覽器。

您還啟動了 session（請參閱 PHPSESSID cookie），如果對客戶端沒有用，簡單地不要啟動 session

出於安全原因，我通常傾向於隱藏 apache 和 PHP 的版本。

在 httpd.conf 文件中隱藏 Apache 版本：ServerTokens PROD

在 php.ini 中隱藏 PHP 版本：expose_php = Off

重啟Apache