Устраняет ли удаление заголовка "X-Powered-By" автоматическое удаление заголовка "Сервер" из ответа HTTP

Question

Устраняет ли удаление заголовка "X-Powered-By" автоматическое удаление заголовка "Сервер" из ответа HTTP

Я использую helmet Модуль NPM, чтобы избавиться от X-Powered-Byно не уверен насчет Server заголовок. Я прочитал Удалить заголовки для безопасности, но не уверен, как избавиться от Server использование заголовка helmet модуль.

1

javascript node.js http httpresponse helmet.js

Источник

29 дек '16 в 09:40

1 ответ

Другие вопросы по тегам javascript node.js http httpresponse helmet.js

user804100 29 дек '16 в 16:28 2016-12-29 16:28 · Answer 1 · 2016-12-29 16:28

Короче говоря: шлем не касается Server заголовок.

Я поддерживаю Шлем, и в нем нет ничего, что включало бы Server Заголовок так или иначе. Если заголовок не установлен, Шлем не установит его; если заголовок установлен, шлем не удалит его.

Экспресс не устанавливает Server Заголовок либо, насколько я знаю. Это означает, что этот заголовок приходит откуда-то еще, скорее всего, сервер "перед" вашим сервером Express, например, nginx.

Вы можете попробовать что-то вроде этого, но это может не сработать, если что-то "перед" вашим сервером.

app.use(function (req, res, next) {
  res.removeHeader('Server');
  next();
});

На мой взгляд, преимущества безопасности при удалении этих заголовков минимальны. Он останавливает очень небольшое количество атакующих: тех, кто просматривает эти заголовки, чтобы выяснить, какие технологии поддерживают ваш сайт, попробовать некоторые атаки, а затем сдаться. У злоумышленников есть и другие признаки того, что ваш сайт подвержен уязвимостям Express. Они могут также попробовать атаки, которые не являются специфичными для Express. Или они могут попробовать экспресс-атаки, даже если они не уверены, что это экспресс! Дуг Уилсон, ведущий сопровождающий Express, разделяет это мнение.