1
NPMモジュールを使用してX-Powered-Byを取り除いていますが、確かにServerヘッダーはありません。私はRemove headers for securityを読んだが、Serverヘッダーを取り除く方法はわからない。helmetモジュールを使用している。"X-Powered-By"ヘッダーを削除するとHTTPレスポンスから "Server"ヘッダーが自動的に削除される
A
答えて
0
簡潔に:ヘルメットはServerヘッダーに触れません。
私はヘルメットを維持しており、その中にServerヘッダーが関わるものは何もありません。ヘッダーが設定されていない場合、ヘルメットはそれを設定しません。ヘッダーが設定されている場合、Helmetはそれを削除しません。
Expressは、私が知る限り、Serverヘッダーを設定しません。これは、このヘッダが他のどこかから来ていることを意味します。おそらくnginxのようなあなたのExpressサーバの前にあるサーバでしょう。
あなたはこのようなことを試すことができますが、あなたのサーバの前に何かがある場合、これはうまくいかないかもしれません。
app.use(function (req, res, next) {
res.removeHeader('Server');
next();
});
これらのヘッダーを削除するセキュリティ上の利点は、とにかく、私の意見では最小限です。攻撃者の非常に小さなサブセット、つまりこれらのヘッダーを見て、あなたのサイトにどのような技術力があるのかを理解し、攻撃を試み、そしてあきらめる人たちを止める。攻撃者はあなたのサイトがExpressの脆弱性であることを知る他の兆候があります。エクスプレス特有ではない攻撃も試みる可能性があります。エクスプレスだとわからなくてもエクスプレス攻撃を試みるかもしれません! Expressの主任メンター、Doug Wilson shares this sentiment
関連する問題
- 1. apiのレスポンスから 'Server'のHTTPヘッダーを削除する
- 2. Flaskレスポンスからヘッダーを削除する
- 3. Apache2でhttpヘッダーを削除する
- 4. SOAP例外によりカスタムHTTPヘッダーが削除される
- 5. 削除ヘッダー
- 6. Angular.js $ httpリクエストからヘッダーを削除する
- 7. JavaのCURL応答からHTTPヘッダーを削除する方法
- 8. http応答ヘッダーが削除されています
- 9. 動的APIレスポンスからプロパティを削除
- 10. 投稿ヘッダーを削除せずにページヘッダーを削除する
- 11. ヘッダーから静的メンバーを削除する
- 12. telerikグリッド(RAZOR)からヘッダーを削除
- 13. ヘッダー部から 'Disqus'を削除
- 14. pandasデータフレームからヘッダー列を削除
- 15. X-AppEngine-CountryがGoogle App EngineのHTTPヘッダーから削除されました
- 16. ヘッダーのWordPressフィードURLを削除/削除する方法は?
- 17. MongoDBでは、コレクションが削除されると、インデックスも自動的に削除されますか?
- 18. サイズが小さいときにヘッダーからパディングを削除する
- 19. 部分的なファイルアップロードが自動的に削除される
- 20. outtlook addinのcustomtaskpaneからヘッダーとメニューを削除する方法
- 21. NSTableViewから列とそのヘッダーを削除する
- 22. csvファイルからヘッダーと空白行を削除する
- 23. ヘッダー名でCSV列を削除する
- 24. Djangoテストクライアント:httpヘッダーを削除する方法
- 25. SQL Serverのヘッダー行ストアを削除する方法?
- 26. ヘッダーがKoaで送信された後にヘッダーを削除できません
- 27. YAF.NETフォーラムのヘッダーからログインリンクを削除するには?
- 28. このメトロUIテンプレートからヘッダーを削除するには?
- 29. Excelで行を自動的に削除してからSQL Serverにインポートする
- 30. $ http.getのヘッダー部分からAccept-Encodingヘッダーを削除する方法anglejs