server_tokens 是一个Nginx配置指令,用于控制Nginx服务器在HTTP响应头中是否显示服务器的版本信息。默认情况下,Nginx会在响应头中包含类似“Server: nginx/1.18.0”这样的版本信息。 该指令的主要作用是提供关于服务器软件版本的信息,但也可能泄露服务器的一些细节,这可能会被潜在的攻击者利用来查找特定的服务器漏洞。
listen address[:port][default_server][ssl][http2|spdy] [rcvbuf=size] [sndbuf=size] ; listen port [default_server][ssl][http2|spdy] [rcvbuf=size] [sndbuf=size] ; default_server:定义此server为http中默认的server;如果所有的server中无任何一个listen使用此参数,那么第一个server即为默认server rcv...
[root@localhost vhosts]# cat /vhosts/html/www/index.html //修改index.html页面 //元数据刷新 welcome to www.abc.org [root@localhost vhosts]# cat www.abc.org.conf server { listen 80; server_name www.abc.org abc.org; index index.html index.php index.htm; error_page 404 https://w...
1.2 server_tokens server_tokens是nginx在ngx_http_core_module中提供的一个功能,可以用来隐藏nginx版本号信息,官方文档如下。 http://nginx.org/en/docs/http/ngx_http_core_module.html#server_tokens 我们可以给nginx新增一个安全相关的配置文件security.conf,文件内新增"server_tokens off;",再reload一下nginx服...
为了降低攻击者获取系统信息的可能性,我们可以通过设置server_tokens来隐藏服务器版本信息。在 Nginx 配置中添加如下设置: server_tokens off; 2.SSL/TLS安全配置 对于使用 HTTPS 的网站,SSL/TLS 配置至关重要。确保使用强密码和安全的协议版本。示例配置如下: ...
在Nginx配置中禁用server_tokens项 server_tokens在打开的情况下会使404页面显示Nginx的当前版本号。这样做显然不安全,因为黑客会利用此信息尝试相应Nginx版本的漏洞。 只需要在nginx.conf中http模块设置server_tokens off即可,例如: server { listen192.168.0.25:80;Server_tokensoff; server_name tecmintlovesnginx.com...
隐藏nginx的版本号很简单,nginx的HttpCoreModule提供了一条叫做server_tokens指令,我这要将这条指令设置为“server_tokensoff”就可以了。 首先访问一下,看一下现有的版本: 复制代码 root@mail~]#curl--headhttp://192.168.3.139 HTTP/1.1403Forbidden
server_tokens在打开的情况下会使404页面显示Nginx的当前版本号。这样做显然不安全,因为黑客会利用此信息尝试相应Nginx版本的漏洞。 只需要在nginx.conf中http模块设置server_tokens off即可,例如: 代码语言:javascript 复制 server{listen192.168.0.25:80;Server_tokens off;server_name tecmintlovesnginx.com www.tecmint...
server_tokensoff; } 经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞 开启HTTPS server { listen 443; server_name ops-coffee.cn; ssl on; ssl_certificate /etc/nginx/server.crt; ...
server_tokensoff; 配置类似于: user nginx; worker_processes auto; error_log/var/log/nginx/error.log; pid/run/nginx.pid; http { keepalive_timeout65; types_hash_max_size2048; server_tokens off; server { ... ... } } 但是返回给客户端的信息,还是存在Nginx服务器类型信息(虽然没有透露版本了...