规则描述:

x-powered-By表示网站是用什么技术开发的,它会泄漏开发语言、版本号和框架等信息,有安全隐患,需要隐藏掉。

根据:

审计描述:

检查nginx.conf文件,是否存在以下配置:

proxy_hide_header     X-Powered-By;

修改建议:

在nginx.conf文件中使用指令proxy_hide_header隐藏它

proxy_hide_header  X-Powered-By;

如果使用的php语言,需要在php.ini中添加

expose_php = Off;

如果是Nginx+Tomcat架构:

  1.在$tomcat/conf/server.xml文件中每一个Connector中加上xpoweredBy属性并设置为false,或者保证Connector中没有xpoweredBy

  <Connector ... xpoweredBy="false" />

  2.在$tomcat/conf/server.xml文件中每一个HTTP Connector中加上server属性并设置为非空值,建议设置为本机IP。

如果是Nginx+fastcgi+php架构,隐藏信息是无效的,需要采用以下措施:

server {

 ... ...

 #该location段只供参考,但如果是执行php文件段,都可以使用fastcgi_hide_header

#隐藏X-Powered-By信息

  location ~ ^/.+\.php(\/.*)?$ {

 ... ...

  fastcgi_hide_header X-Powered-By ;

... ...

 }

 ... ...

  }

检测用例信息:

检测描述

期望结果

检测结果

检查是否配置隐藏了X-Powered-By HTTP头

--

http { proxy_hide_header ; }