我正在尝试从Chrome / Firefox中的Wappalyzer插件隐藏框架名称Yii。在安全审核中,我需要隐藏框架名称。
我已经在Apache配置中关闭了服务器签名,但是框架名称Yii仍然显示
答案 0 :(得分:1)
您可以找到Wappalyzer如何检测Yii here
HTML代码
您需要确保您的html不包含html部分中提到的代码。
Powered by...文本是由Yii::powered()生成的,因此请确保未在布局文件中调用它。endPage()的{{1}}方法时,这些块将被替换,因此请确保在布局的末尾有yii\web\View调用。饼干
为避免这种检测,您将需要更改CSRF令牌名称。您可以在此处找到更改方法: how to change csrf field id from YII_CSRF_TOKEN to any other
JS文件
这可能是最令人讨厌的检测。 Wappalyzer中的检测模式假定资产文件夹为8个字符长的字符串。幸运的是,$this->endPage(); see documentation中有hashCallback个属性。您可以使用它来更改资产文件夹名称的生成方式。
这将帮助您避免检测到Wappalyzer,但是只要看看加载了哪些脚本的人仍然可以看到yii.js,yii.validation.js和yii.activeForm.js脚本已加载。您可以将它们复制到某些文件夹中,重命名它们,然后customize asset bundles更改加载的脚本。
您将要自定义以下资产:
yii\web\AssetManager用于yii\web\YiiAsset脚本。yii.js用于yii\validators\ValidationAsset脚本。yii.validation.js用于yii\widgets\ActiveFormAsset脚本。