“服务器”标头有任何用途吗?


11

例如,当我转储服务器的响应头时,我得到:

Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_ssl/2.2.11 OpenSSL/0.9.8g

这有什么用吗?广播服务器配置文件是否有安全风险(尽管很小)?

Answers:


15

不,它不用于任何重要的事情。Netcraft的服务器市场份额调查可能会使用它,大概其他第三方调查也是如此。)

是的,这是一个(很小的)安全问题。当然,您的服务器应该一直处于安全状态并保持最新状态,但是在安全性良好的服务器之上再增加一层“晦涩”是唯一有益的。如果没有别的,如果攻击者需要在攻击之前进行广泛的“ 指纹识别 ”,那么如果您密切监视日志文件,则可能会收到一些有关攻击的预警。

如果需要,可以放心地降低广播的详细程度。另一方面,这没什么大不了的,如果您在共享服务器上无法更改此设置,请不要费力。


1

与服务器头长,缩短,或摆脱它完全也可以提供一个小的性能优势。

正如Jesper指出的那样,这不是一个大问题,但是如果您试图从页面加载时间中挤出每毫秒的时间,这可能会有所作为-特别是如果您正在加载许多小文件,这对绩效观点本身,但有时是不可避免的。

我怀疑这就是为什么例如Google的网络服务器只说:

Server: gws

要么

Server: sffe

当然,他们可以将“ gws”拼写为“ Google Web Server”,而无需透露更多信息,但这将为每个HTTP响应添加14个完全无用的字节。根据Google的请求量,这几个字节加起来可能会比您的小型网站所平均使用的总带宽更多。


数据包大小通常约为1,000个字节,因此节省几个字节(字面上)不会影响速度。仅当所有标头的总数溢出到额外的数据包中时。
DisgruntledGoat 2012年

一个100字节的标头(如问题中引用的标头一样)很可能导致响应标头和内容的组合长度溢出到额外的数据包中。此外,数据包计数仅针对纯粹受延迟限制的连接说明整个过程。在(至少部分)带宽受限的情况下(例如移动连接速度慢或请求量巨大的大型数据中心),传输的字节总数也开始变得重要。
Ilmari Karonen 2014年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.