服务器签名关闭
今天对网站的SEO进行了了解,发现服务器签名也是一块值得优化和重视的地方。
网站服务器签名以及服务器/PHP版本信息是敏感信息,应该将这些信息隐藏,否则无异于将系统的已知安全漏洞告诉给了攻击者。因而,建议禁用所有的网站服务器签名。
禁用服务器签名
只要Apache网站服务器返回出错页面(比如404 not found或403 access forbidden pages),它就会在页面底部显示网站服务器签名(比如Apache版本号和操作系统信息)。此外,当Apache网站服务器打开任何PHP页面时,同样会显示PHP版本信息。
该如何关闭Apache网站服务器中的这些网站服务器签名?
其实很简单,只需要修改配置文件httpd.conf
1 | #将下面这两行添加到Apache配置文件的末尾处: |
“ServerSignature Off”让Apache2网站服务器隐藏任何出错页面上的Apache版本信息。
“ServerTokens Prod”的作用是,抑制HTTP响应头中的服务器令牌,不显示显示Apache版本号,确保显示的信息尽可能少
隐藏PHP版本
另一个潜在的安全威胁是HTTP响应头中泄露的PHP版本信息。默认情况下,Apache网站服务器通过HTTP响应头里面的“X-Powered-By”字段,添加PHP版本信息。如果你想隐藏HTTP响应头中的PHP版本,不妨用文本编辑工具打开php.ini文件
1 | #expose_php = On, |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 螃蟹壳!
