1
NPM 모듈을 사용하여 X-Powered-By을 없애고 Server 헤더를 알 수 없습니다. 나는 Remove headers for security을 읽었지만, 모듈을 사용하여 Server 헤더를 제거하는 방법을 모르겠습니다."X-Powered-By"헤더를 제거하면 HTTP 응답에서 "Server"헤더가 자동으로 제거됩니다.
A
답변
0
요컨대 : 헬멧은 Server 헤더를 건드리지 않습니다.
나는 헬멧을 유지하고 그 중 어떤 것이 든 Server 헤더를 포함하는 것이 아무것도 없다. 헤더가 설정되어 있지 않으면 Helmet이 설정하지 않습니다. 헤더가 설정된 경우 Helmet은 헤더를 제거하지 않습니다.
Express는 내가 알고있는 한 Server 헤더를 설정하지 않습니다. 즉,이 헤더가 다른 곳에서오고 있음을 의미합니다. nginx와 같은 Express 서버 앞의 서버 일 가능성이 큽니다.
이런 식으로 시도해 볼 수는 있지만 서버 앞에 "무언가"가있는 경우에는 작동하지 않을 수 있습니다.
app.use(function (req, res, next) {
res.removeHeader('Server');
next();
});
이러한 헤더를 제거하면 보안상의 이점이 최소화됩니다. 아주 작은 부분의 공격자를 차단합니다. 이러한 헤더를 통해 기술력을 파악하고 공격을 시도한 다음 포기하는 사람들입니다. 공격자는 귀하의 사이트가 익스프레스 취약점이라고 보는 다른 징후가 있습니다. 또한 Express 관련이 아닌 공격을 시도 할 수도 있습니다. 또는 익스프레스인지 확실하지 않은 경우에도 익스프레스 공격을 시도 할 수 있습니다! Express의 수석 관리자 인 Doug Wilson은 shares this sentiment입니다.