nginx的版本号默认是打开的,可以在默认的错误页面和http响应头中查看到。
比如http://www.nginx.cn的HTTP响应头信息
有些时候HTTP/1.1 200 OK
Server: nginx/1.2.3
Date: Fri, 14 Dec 2012 05:39:29 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Vary: Accept-Encoding
X-Powered-By: PHP/5.4.7
X-Pingback: http://www.nginx.cn/xmlrpc.php
Content-Encoding: gzip
不同版本,特别是低版本的nginx可能存在漏洞,就不希望能被人轻易获取到系统版本号。
这个时候我们可以显示的隐藏nginx version,使用server_tokens指令,
server_tokens作用域是http server location语句块
server_tokens默认值是on,表示显示版本信息,
server_tokens off;
设置server_tokens默认值是off,就可以在所有地方隐藏nginx的版本信息。
隐藏版本号后的HTTP头信息,就看不到版本号了。
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 14 Dec 2012 06:05:50 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Vary: Accept-Encoding
X-Powered-By: PHP/5.4.7
X-Pingback: http://www.nginx.cn/xmlrpc.php
Content-Encoding: gzip
(责任编辑:IT) |