fastcgi_hide_header
Директива 'fastcgi_hide_header' управляет тем, какие HTTP-заголовки из ответа FastCGI скрываются от клиентов. — NGINX HTTP Core
Описание
Директива 'fastcgi_hide_header' используется в конфигурации NGINX для указания, какие заголовки из ответа сервера FastCGI не должны отправляться клиенту. Эта директива может предотвратить раскрытие отдельных заголовков по причинам безопасности или эксплуатации, тем самым помогая поддерживать чистый интерфейс, скрывая от клиентов ненужную или конфиденциальную информацию. Она принимает один аргумент — имя HTTP-заголовка, который вы хотите скрыть. Например, указание 'fastcgi_hide_header X-Powered-By;' предотвратит возврат заголовка 'X-Powered-By' клиенту, даже если приложение FastCGI включает его в свой ответ. Эта директива может размещаться в различных контекстах, включая 'http', 'server' и 'location', что обеспечивает гибкость конфигурации в зависимости от того, где вы хотите применить подавление заголовков. Когда указанный заголовок присутствует в ответе FastCGI, NGINX просто не будет включать его в итоговый HTTP-ответ, отправляемый клиенту, тем самым не раскрывая потенциально конфиденциальную информацию. Эта функция особенно полезна при работе с приложениями, которые раскрывают информацию, которую можно использовать для атак по снятию отпечатков, либо при настройке приложений с учётом специфических требований безопасности.
Пример конфига
location /api {
fastcgi_pass 127.0.0.1:9000;
fastcgi_hide_header X-Powered-By;
}Будьте осторожны, чтобы не скрыть необходимые заголовки, которые могут потребоваться клиентам для работы или отладки.
Убедитесь, что указанные имена заголовков корректны и не содержат опечаток, поскольку заголовки чувствительны к регистру.
Директива не повлияет на заголовки, которые модифицируются или генерируются самим NGINX; она применяется только к заголовкам, возвращаемым FastCGI-бэкендом.