最近、自分のサイトでセキュリティ チェックを実行するために Netsparker を使い始めました。httpヘッダーから情報を「漏らしている」4つの領域がありました。リークしているファイルは私の *.css ファイルです。おそらく、1. Apache モジュール、2. PHP バージョン、3. フロントページ バージョン、4. 再び Apache バージョンを公開していると思われます。
私のcssのヘッダーは「@charset "utf-8";」です。
ところで、漏洩した情報はphpバージョンが4.4.9であると言っていますが、これは正しくありません。また、私はフロントページを使用しておらず、Apacheについてもわかりません。
これはまったく気にする必要がありますか?anyinfo が送信されないようにするには、css ファイルにどのタイプのヘッダーが必要ですか?
ありがとうございました、
メッセージは、Web サーバーが送信している HTTP ヘッダーについて話しているようです。これらのヘッダー ( や などServer)の多くはX-Powered-By、Web サーバーによってリクエストに自動的に追加されます。
http://redbot.org/を使用して公開 URL のヘッダーを検査し、Apache Web サーバー構成ファイル (または PHP の場合は php.ini) を編集して、問題のヘッダーを非表示にすることができます。これら 2 つのヘッダーについては、Rails アプリで ServerSignature および ServerTokens Apache 構成オプションを設定する必要がありますか? を参照してください。PHP の X-Powered-By ヘッダーを非表示にする
PHP のバージョン (およびフロントページの情報) が正しくない場合は、最初に自分で http ヘッダーを調べて、css ファイルが実際にその情報を送信していることを確認します。主要な Web ブラウザのいずれかで開発者ツールを使用すると、これらの不正なヘッダーが渡されていることを確認できるはずです。
そうである場合は、apache/php.ini 設定を微調整する必要があります。
php.ini ファイルの「expose_php」設定から始めます。
静的 css ファイルが php と関係があるのは少し奇妙ですが、css ファイルがサーバー側で動的に生成されていると仮定しています (そして、そこに php が入ります)。