最近在分析网站性能的时候,发现服务器返回了"X-Powered-By"字段,这个字段中携带了PHP的版本号,系统的版本号。如下图:
而出于安全考虑,这两个信息是不应该被返回给客户端的。
Ubuntu 14.04下服务器禁止返回"X-Powered-By"的设置如下:
对于使用Apache2内置PHP的服务器,则需要修改Apache2对应目录下的配置文件
$ sudo vim /etc/php5/apache2/php.ini
对于使用PHP-FPM调度的服务器,则需要同时修改PHP-FPM,FastCGI对应目录下的配置文件
$ sudo vim /etc/php5/fpm/php.ini $ sudo vim /etc/php5/cgi/php.ini
找到
; Decides whether PHP may expose the fact that it is installed on the server ; (e.g. by adding its signature to the Web server header). It is no security ; threat in any way, but it makes it possible to determine whether you use PHP ; on your server or not. ; http://php.net/expose-php expose_php = On
把其中的expose_php = On调整为:expose_php = Off,调整后的结果如下:
; Decides whether PHP may expose the fact that it is installed on the server ; (e.g. by adding its signature to the Web server header). It is no security ; threat in any way, but it makes it possible to determine whether you use PHP ; on your server or not. ; http://php.net/expose-php expose_php = Off
接下来,重启Apache2
$ sudo service apache2 restart
重启PHP-FPM,如果配置了的话。
$ sudo service php5-fpm restart
再次请求服务器后,发现"X-Powered-By"已经不会再返回了。
