hide_server_tokens
`hide_server_tokens` 指令会抑制 NGINX 中 `Server` 响应头的显示,从而增强安全性。
NGINX module for sending security headers
·
httpserverlocation
语法hide_server_tokens on | off;
默认值off
上下文http, server, location
参数flag
说明
hide_server_tokens 指令用于防止 NGINX 在 Server HTTP 响应头中泄露其版本信息。默认情况下,NGINX 会包含一个指示其版本和所运行操作系统的响应头,这可能会向攻击者暴露可利用的漏洞。当 hide_server_tokens 设置为 on 时,这些信息会被隐藏,Server 头要么变为空,要么完全不发送,从而有助于掩盖服务器的软件栈,减少被恶意行为者识别的可能性。该指令在安全性要求高的环境中尤为重要,因为它通过降低基于特定服务器版本已知漏洞进行攻击的攻击面来增强安全性。
该指令可以在多个上下文中设置,例如 http、server 或 location,使其能够根据 Web 应用的需要灵活配置。管理员可以在服务器配置的不同层级轻松包含或排除此行为,有助于保护特定位置或整个服务器。总体而言,在 NGINX 服务器部署中使用 hide_server_tokens 是提升安全态势的最佳实践。
配置示例
http {
hide_server_tokens on;
}⚠
确保在你的 NGINX 配置中启用 security_headers 模块,以便能够有效隐藏 Server 标头。
⚠
如果使用修改标头的其他模块,请验证它们与 hide_server_tokens 的交互以防冲突。