转自:http://blog.hackroad.com/operations-engineer/linux_server/3264.html
通过服务器的head头可以得到服务器的很多信息,这给服务器安全带来很大隐患,如:
HTTP/1.1 200 OK Server: icson Date: Thu, 26 Sep 2013 06:43:52 GMT Content-Type: text/html; charset=UTF-8 Connection: keep-alive Vary: Accept-Encoding X-UA-Compatible: IE=Edge,chrome=1 X-XSS-Protection: 1; mode=block |
Nginx可以编译添加第三方模块more_set_headers来自定义或清除相关head信息。
cd /usr/local/src/ wget http://nginx.org/download/nginx-1.0.15.tar.gz tar zxvf nginx-1.0.15.tar.gz cd nginx-1.0.15 wget -O header.zip --no-check-certificate https://github.com/agentzh/headers-more-nginx-module/zipball/v0.17rc1 unzip header.zip ./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-\ http_ssl_module --with-http_gzip_static_module --add-module=./agentzh-headers-more-nginx-module-3580526/ make && make install |
应用示例,清除服务器及php信息,在配置文件http段添加以下:
more_clear_headers "X-Powered-By:"; more_clear_headers "Server:"; |
重新加载配置文件:
/etc/init.d/nginx reload |
查看当前head头信息:
现在nginx及php信息都没了,当然也可自定义为其它信息。