我正在构建API ..但我认为我的服务器发送了一个相当长的标头,而不是其他“API”..
HTTP/1.1 200 OK
Date: Thu, 30 Jun 2011 19:51:22 GMT
Server: Apache/2.2.16 (Debian)
X-Powered-By: PHP/5.3.3-7+squeeze1
Set-Cookie: PHPSESSID=dv1nrjrd47qurff4u9tn8afa84; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Vary: Accept-Encoding
Content-Length: 0
Connection: close
Content-Type: text/html
只是想知道安全方面是否有任何不利之处?
耶..!现在我到了这个
HTTP/1.1 200 OK
Date: Thu, 30 Jun 2011 20:51:18 GMT
Server: Apache
Content-Length: 0
Connection: close
Content-Type: application/json
答案 0 :(得分:3)
在将这些额外标题发送给客户端时,在permormance方面没有明显的缺点。 客户端永远不应该缓存Web服务调用返回的响应,因为客户端通常不是浏览器。
你也开始一个会话(参见PHPSESSID cookie),如果对客户端没用,那么简单就是不要启动会话
出于安全原因,我通常倾向于隐藏apache和PHP的版本。
隐藏Apache版本:httpd.conf文件中的ServerTokens PROD
在php.ini中隐藏PHP版本:expose_php = Off
重启Apache