阅读 Servlet 3.0 规范时,我遇到了以下问题,想知道这是否真的是推荐的事情。我记得遇到过出于安全原因不包含此信息的建议:
建议容器使用 X-Powered-By HTTP 标头来发布其实现信息。字段值应由一种或多种实现类型组成,例如“Servlet/3.0”。可选地,可以在括号内的实现类型之后添加容器和底层Java平台的补充信息。容器应该可配置以抑制此标头。这是此标头的示例:
X-Powered-By:Servlet/3.0 JSP/2.2 (GlassFish v3 JRE/1.6.0)
例如,在这里,它反对这种做法。我曾经使用一个工具来分析我的网站是否存在潜在问题,它返回了一个安全警告和删除 X-Powered-By 标头的建议。