1
NPMモジュールを使用してX-Powered-Byを取り除いていますが、確かにServerヘッダーはありません。私はRemove headers for securityを読んだが、Serverヘッダーを取り除く方法はわからない。helmetモジュールを使用している。"X-Powered-By"ヘッダーを削除するとHTTPレスポンスから "Server"ヘッダーが自動的に削除される
A
答えて
0
簡潔に:ヘルメットはServerヘッダーに触れません。
私はヘルメットを維持しており、その中にServerヘッダーが関わるものは何もありません。ヘッダーが設定されていない場合、ヘルメットはそれを設定しません。ヘッダーが設定されている場合、Helmetはそれを削除しません。
Expressは、私が知る限り、Serverヘッダーを設定しません。これは、このヘッダが他のどこかから来ていることを意味します。おそらくnginxのようなあなたのExpressサーバの前にあるサーバでしょう。
あなたはこのようなことを試すことができますが、あなたのサーバの前に何かがある場合、これはうまくいかないかもしれません。
app.use(function (req, res, next) {
res.removeHeader('Server');
next();
});
これらのヘッダーを削除するセキュリティ上の利点は、とにかく、私の意見では最小限です。攻撃者の非常に小さなサブセット、つまりこれらのヘッダーを見て、あなたのサイトにどのような技術力があるのかを理解し、攻撃を試み、そしてあきらめる人たちを止める。攻撃者はあなたのサイトがExpressの脆弱性であることを知る他の兆候があります。エクスプレス特有ではない攻撃も試みる可能性があります。エクスプレスだとわからなくてもエクスプレス攻撃を試みるかもしれません! Expressの主任メンター、Doug Wilson shares this sentiment
関連する問題
- 1. apiのレスポンスから 'Server'のHTTPヘッダーを削除する
- 2. JSONレスポンスからヘッダーを削除する
- 3. Flaskレスポンスからヘッダーを削除する
- 4. Apache2でhttpヘッダーを削除する
- 5. SOAP例外によりカスタムHTTPヘッダーが削除される
- 6. 削除ヘッダー
- 7. TCP、IP、イーサネットヘッダーが削除された後、パケットからHTTPヘッダーを取得する
- 8. JavaのCURL応答からHTTPヘッダーを削除する方法
- 9. Angular.js $ httpリクエストからヘッダーを削除する
- 10. 動的APIレスポンスからプロパティを削除
- 11. http応答ヘッダーが削除されています
- 12. 投稿ヘッダーを削除せずにページヘッダーを削除する
- 13. ヘッダーから静的メンバーを削除する
- 14. telerikグリッド(RAZOR)からヘッダーを削除
- 15. ヘッダー部から 'Disqus'を削除
- 16. pandasデータフレームからヘッダー列を削除
- 17. Primefacesダイアログからヘッダーを削除
- 18. トップバー/ヘッダー/メインナビゲーションリンクを1ページから削除
- 19. X-AppEngine-CountryがGoogle App EngineのHTTPヘッダーから削除されました
- 20. なぜcontent-typeヘッダーが削除されるのですか?
- 21. MongoDBでは、コレクションが削除されると、インデックスも自動的に削除されますか?
- 22. ヘッダーのWordPressフィードURLを削除/削除する方法は?
- 23. サイズが小さいときにヘッダーからパディングを削除する
- 24. 部分的なファイルアップロードが自動的に削除される
- 25. NSTableViewから列とそのヘッダーを削除する
- 26. outtlook addinのcustomtaskpaneからヘッダーとメニューを削除する方法
- 27. csvファイルからヘッダーと空白行を削除する
- 28. ユーザーはADグループから自動的に削除されます
- 29. ヘッダー行を削除するVAADIN 7.8.4
- 30. Spark:Content-Typeヘッダーを削除する