Nieuwsberichten SSL Certificaat Headers

    HTTP Headers X-Powered-By Oplossing

    Gebruiker beoordeling: 5 / 5

    Ster actief Ster actief Ster actief Ster actief Ster actief
     

    X-Powered-By - HTTP - MDN Web Docs

    X-Powered-By oplossing om versie-informatie te Verwijderen

    Binnenland: Tech headers X-Powered-By: X-Powered-By middleware verwijdert de header X-Powered-By om het voor aanvallers iets moeilijker te maken om te zien welke potentieel kwetsbare technologie uw site van stroom voorziet. De aanval: Hackers kunnen bekende kwetsbaarheden in Express en Node misbruiken als ze weten dat u het gebruikt. (en andere web technologieën zoals PHP) stellen bij elke aanvraag een X-Powered-By header in, waarmee wordt aangegeven welke technologie de server van stroom voorziet.

    X-Powered-By oplossing

    Een hacker kan deze informatie in hun voordeel gebruiken. Als ze een beveiligingsprobleem kennen in Express of Node en zij zien dat uw site door Express wordt aangedreven, kunnen ze doelgerichter zijn.

    Als een vastberaden hacker deze Header niet ziet, geven ze niet opeens op. Ze kunnen naar andere aanwijzingen zoeken om erachter te komen dat je Node gebruikt, of ze kunnen gewoon een aantal aanvallen proberen en zien of een van hen werkt. Het simpel weglaten van deze Header betekent niet dat niemand kwetsbaarheden kan misbruiken; het kan ze enigszins vertragen of een luie hacker afschrikken.

    Er is ook een klein prestatievoordeel bij het verwijderen van deze Header omdat er minder bytes hoeven te worden verzonden.

    Introductie X-Powered-by

    Webservers geven standaard standaard volledige versie-informatie in een HTTP-header. Apache zal bijvoorbeeld zoiets laten zien:

    Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2

    Apache standaard geeft ook server handtekening informatie op bepaalde foutpagina's. De standaard 404-pagina toont bijvoorbeeld dat u Apache uitvoert en mogelijk het e-mailadres van de webmaster dat u hebt geconfigureerd. Nogmaals, dit is onnodige informatie voor de webserver om naar mijn mening te laten zien.

    Andere back-endservers (bijvoorbeeld Jboss, NodeJs, PHP) hebben ook standaard de HTTP Header 'X-Powered-by' ingesteld, wat eveneens een onnodig risico is om de software weer te geven die u gebruikt. Het heeft geen enkel voordeel voor uw websitebezoekers, dus schakel ze uit.

    Hoe het op te zetten

    De volgende instellingen in Apache verminderen de serverheaders:

    Beperk HTTP-header van server tot het minimale product (Apache) in plaats van gedetailleerde versie-informatie van de server en het besturingssysteem toevoegen aan de .htaccess bestand

    ServerTokens Prod

    Verwijder het voetgedeelte van foutpagina's, met details over de versienummers: toevoegen aan de .htaccess bestand

    ServerSignature Off

    Verberg X-Powered-By en Server-headers, verzonden door downstream-applicatieservers:

    Let op dat je beide hieronder nodig hebt omdat de "always" toevoegen aan de .htaccess bestand

    Header always unset "X-Powered-By"
    Header unset "X-Powered-By"
    Technologie Nieuws
    HTTP Beveiliging Let's Encrypt SSL Certificaat Headers
    Rating:
    ( 1 Rating )

    Zoek

    Populaire Artikels

    Information (EN)
    © 2022 Nieuwsberichten nieuws. Alle rechten voorbehouden. Nieuwsberichten® en het bijbehorende logo zijn Nederland geregistreerde handelsmerken van Nieuwsberichten, en andere handelsmerken die hierin worden gebruikt, zijn eigendom van en kunnen worden geregistreerd door hun respectieve eigenaren.

    Main Menu

    Onafhangkelijk journalistiek by Nieuwsberichten Binnenland & buitenland nieuws