nginx隱藏 X-Powered-By HTTP頭

規則描述：

x-powered-By表示網站是用什么技術開發的，它會泄漏開發語言、版本號和框架等信息，有安全隱患，需要隱藏掉。

根據：

審計描述：

檢查nginx.conf文件，是否存在以下配置：

proxy_hide_header     X-Powered-By;

修改建議：

在nginx.conf文件中使用指令proxy_hide_header隱藏它

proxy_hide_header  X-Powered-By;

如果使用的php語言，需要在php.ini中添加

expose_php = Off;

如果是Nginx+Tomcat架構：

  1.在$tomcat/conf/server.xml文件中每一個Connector中加上xpoweredBy屬性並設置為false，或者保證Connector中沒有xpoweredBy

  <Connector ... xpoweredBy="false" />

  2.在$tomcat/conf/server.xml文件中每一個HTTP Connector中加上server屬性並設置為非空值，建議設置為本機IP。

如果是Nginx+fastcgi+php架構，隱藏信息是無效的，需要采用以下措施：

server {

 ... ...

 #該location段只供參考，但如果是執行php文件段，都可以使用fastcgi_hide_header

#隱藏X-Powered-By信息

  location ~ ^/.+\.php(\/.*)?$ {

 ... ...

  fastcgi_hide_header X-Powered-By ;

... ...

 }

 ... ...

  }

檢測用例信息：

檢測描述	期望結果	檢測結果
檢查是否配置隱藏了X-Powered-By HTTP頭	--	http { proxy_hide_header ; }