我最近开始使用 Netsparker 在我的网站上运行安全检查。它给了我 4 个从 http 标头“泄漏”信息的区域。泄漏的文件是我的 *.css 文件。假设我正在揭示 1. Apache 模块,2. PHP 版本,3. Frontpage 版本,以及 4. 再次是 apache 版本。
我的css上的标题是“@charset“utf-8”;”
顺便说一句,泄露的信息是 php 版本是 4.4.9,这是不正确的。我也没有使用frontpage,我不确定apache。
这有什么好担心的吗?我需要在 css 文件中使用什么类型的标题来防止任何信息流出?
谢谢你,
听起来该消息正在谈论您的 Web 服务器正在发送的 HTTP 标头。许多这些标头(例如Server和X-Powered-By)可以由您的 Web 服务器自动添加到请求中。
您可以使用http://redbot.org/检查任何公共 URL 的标头,然后编辑您的 Apache Web 服务器配置文件(或 php.ini,在 PHP 的情况下)以抑制有问题的标头。对于这两个具体的标头,请参阅是否需要使用 Rails 应用程序设置 ServerSignature 和 ServerTokens apache 配置选项?并隐藏 PHP 的 X-Powered-By 标头
如果 PHP 版本(和首页信息)不正确,我首先要做的是自己检查 http 标头以确认您的 css 文件确实发送了该信息。如果您将开发人员工具用于任何主要的网络浏览器,您应该能够确认那些不正确的标头已通过。
如果它们是,那么您将需要调整您的 apache/php.ini 设置。
从 php.ini 文件中的“expose_php”设置开始。
虽然静态 css 文件与 php 有任何关系有点奇怪,但我假设您的 css 文件是在服务器端动态生成的(这就是 php 的来源)。