我正在使用 helmet NPM 模块来摆脱 X-Powered-By 但不确定 Server header 。我读过Remove headers for security但不确定如何使用 helmet 模块摆脱 Server header 。
最佳答案
简而言之: Helm 不接触 Server header 。
我维护 Helmet,其中没有任何内容以某种方式涉及 Server header 。如果未设置 header ,则 Helmet 不会设置它;如果设置了 header , Helm 将不会删除它。
据我所知,Express 也没有设置 Server header 。这意味着这个 header 来自其他地方,可能是您的 Express 服务器“前面”的服务器,例如 nginx。
您可以尝试这样的操作,但如果您的服务器“前面”有东西,这可能不起作用。
app.use(function (req, res, next) {
res.removeHeader('Server');
next();
});
在我看来,无论如何删除这些 header 的安全好处是微乎其微的。它阻止了一小部分攻击者:那些查看这些 header 以弄清楚您的网站采用何种技术,尝试一些攻击,然后放弃的人。攻击者有其他迹象可以看出您的站点存在 Express 漏洞。他们也可能会尝试不特定于 Express 的攻击。或者他们可能会尝试 Express 攻击,即使他们不确定它是 Express! Doug Wilson,Express 的主要维护者,shares this sentiment .
关于javascript - 消除 "X-Powered-By" header 是否会自动从 HTTP 响应中消除 "Server" header ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41376929/