로드 밸런서 뒤의 어떤 물리적 노드가 요청을 처리했는지 식별하는 웹 애플리케이션의 모든 응답에 HTTP 헤더를 추가하려고했습니다.
이 목적을 위해 전통적으로 사용 된 표준 (또는 사실상의 표준) 헤더가있을 것이라고 생각했습니다.
거기 있어요?
사용할 수있는 잠재적 응답 헤더 중 하나는 "서버"헤더 입니다. RFC 2616을 통해 요청을 처리하는 데 사용되는 소프트웨어 및 하위 제품을 식별하는 데 사용되며 서버와 클라이언트 간의 프록시 /로드 밸런서에 의해 변경되지 않아야 함을 알 수 있습니다.
일반적으로 이것은 민감한 정보 (HTTP 서버의 이름 및 버전 번호)를 제안합니다. 많은 사람들 이 보안을 향상시키기 위해 서버 헤더를 완전히 제거 할 것을 제안합니다 ( 이 작업을 수행하는 사람에 대한이 스택 오버플로 질문 참조 ).
당신은 이것을 하나의 돌로 두 마리의 새를 죽이는 것으로 볼 수 있습니다 : 당신 측에서 요청을 처리하는 데 사용되는 서버를 식별하고 특정 보안 문제를 충족시키는 공격자를 위해 서버를 약간 난독 화하는 방법을 제공합니다 (그러나 FWIW, 저는 확신하지 못합니다). 보안 관점에서 이것의 가치이지만 언급 할 가치가 있습니다).
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다