Разработка электроники,

Систем автоматики,

Программного обеспечения

8(981)186-50-82

ООО "Антех ПСБ",
Санкт-Петербург

anteh@bk.ru

antehru@gmail.com

©

Кое что про Apache 2.4

Удаление записи X-Powered-By из заголовка ответа сервера

У апача должен быть включён mod_headers.so и добавлены строки в виртуал хост, для которого производим отключение:

Header unset X-Powered-By
Header always unset X-Powered-By
Чтобы производить изменение заголовков сразу для всех виртуал хостов, нужно в httpd.conf, для общей директории, содержащей все директории виртуал хостов делать соответствующие записи:
DocumentRoot "директория содержащая все директории виртуал хостов"
<Directory "директория содержащая все директории виртуал хостов">
Header unset X-Powered-By
Header always unset X-Powered-By ...

Отключение записи server apache... из заголовка ответа сервера

Отключить нельзя, можно переименовать. В httpd-default.conf установить:

ServerTokens Prod
ServerSignature Off

Но удалить запись "Server <чего-то там>" не получится. "ServerTokens Prod" максимально удаляет информацию о сервере и оставляет только "Server Apache" в ответе. Можно исходник апача подправить, но это ни к чему. Если сервер обслуживает клиентов из глобальной сети, то обязательно должен быть установлен ap2x-mod_security. В конфигурационный файл апача добавляем:

SecServerSignature "xnig"

Это переименует apache на xnig в ответе сервера. Способ не единственный

В общем случае в httpd.conf apache24, для увеличения безопасности, можно добавить:

DocumentRoot "/vws/iwbs"
<Directory "/vws/iwbs">
Header unset X-Powered-By
Header always unset X-Powered-By

Header unset X-AspNet-Version
Header always unset X-AspNet-Version
#Enable HSTS
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
#X-Frame-Options
Header set X-Frame-Options DENY
#X-Content-Security-Policy
Header set X-Content-Security-Policy "allow 'self';"
#IE X-XSS-Protection
Header set X-XSS-Protection "1; mode=block"
#IE X-Content-Type-Options
Header set X-Content-Type-Options "nosniff"
#Strict-Transport-Security https Strict-Transport-Security: max-age=31556926 ...

Rewrite можно использовать только в <Directory ...> в <Location ...> он работает неправильно.

Директивы mod_rewrite нужно использовать в последнюю очередь https://httpd.apache.org/docs/2.4/rewrite/avoid.html. Для перенаправления с 80 на 443 рекомендуется применять Redirect permanent.

Все ссылки на страницах сайта обязательно должны быть с подчёркиванием.

Copyright ©Новиков Алексей Александрович,

2012-2017 Санкт-Петербург, 197372, ООО "Антех ПСБ",

anteh собака bk.ru