隐藏服务器头信息

半强迫症的我，为了安全性(然并卵)和节流(就小小的一点点)考虑，需要对生产环境的服务器头信息进行隐藏,下面列出常用的修改及配置

隐藏nginx版本号

修改nginx.conf文件 在http配置项中增加

server_tokens off;

隐藏apache版本号

修改httpd.conf 设置

ServerSignature OffServerTokens Prod

ServerSignature Off 告诉Apache在错误页(HTTP Status 404之类)不显示服务器版本信息，但此选项不影响可正常访问的页面(HTTP Status 200之类)。正常访问网页的Server Header里面依然有服务器版本信息。

ServerTokens Prod 告诉Apache在服务器头信息中(Server Header)中只返回Apache，不返回服务器操作系统与Apache的版本信息

隐藏php版本信息

修改php.ini,关闭下列配置项

expose_php = Off

屏蔽php彩蛋

编辑.htaccess如下

RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]RewriteRule .* - [F]

隐藏express框架信息

在app.js中编写

app.disable("x-powered-by");

其他语言的后续将陆续增加