背景
項目中爆出安全漏洞,說Nginx的版本号已洩露。如下圖所示:
解決
在http/server/location節點下添加:server_token off;
至于添加在哪一個位置,那看你想要設定的影響範圍了。
- 如果是http,則影響最大,所有server和location都影響;
- 如果是server,則隻影響server及server中的location;
- 如果是location,則隻影響特定的location;
serve_tokens指令
| Syntax: | server_tokens on | off | build | string; |
| Default: | server_tokens on; |
| Context: | http, server, location |
該指令會在Response Header中添加“Server”表示Nginx的版本号,示例如下:
參數解釋
on:顯示Nginx版本号
off:關閉Nginx版本号的顯示
build:自1.11.10版本開始支援build名稱,即編譯nginx時的選項--build=name。
string:自1.9.13版本開始支援自定義的字元串變量作為Server的值,如果string是空的,則表示禁用Server。可用的變量都在這裡:http://nginx.org/en/docs/varindex.html
參考
1.[nginx官方文檔 - server-tokens](http://nginx.org/en/docs/http/ngx_http_core_module.html#server_tokens)