Apache 403 Forbidden页面安全性

时间:2014-05-28 10:11:22

标签: php apache wamp

我正在使用WAMP并想知道禁止页面是否可以显示服务(Apache / PHP)及其版本号?这是标准做法吗?

由于

2 个答案:

答案 0 :(得分:1)

我认为对于开发系统来说这是一种很好的做法,而对于生产系统,您应该停用此功能。为此,您必须更改httpd.conf / apache.conf中的以下行:

ServerSignature off
ServerTokens prod

您还必须设置

expose_php off

在你的php.ini中,以防止php显示php版本。

答案 1 :(得分:0)

403上禁止的其他错误页面(404未找到,“内部服务器错误”等)上显示的服务名称(Apache / PHP)及其版本号称为服务器签名。

由于WAMP是本地开发环境,因此没有问题。 但对于生产服务器来说,它根本不是一个好习惯,因为每个版本的Apache或PHP都有一些缺点。这些可能被恶意黑客利用。

您可以通过编辑apache2.conf / httpd.conf文件来禁用服务器签名。

在文件末尾添加以下行并重新启动apache

ServerSignature Off
ServerTokens Prod

回到你的问题,它是否是一个在错误页面上显示服务器签名的标准做法,对于开发环境来说,这是一个标准做法。但对于生产服务器“不是它不是一个好的或标准的做法”