本文主要是介绍nginx版本号隐藏(405 not allowed解决办法),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
背景
项目安全测试发现405页面暴露了nginx版本,其相关版本号泄露时攻击者会利用相应软件版本的当前漏洞,进行有效的相应攻击。所以需要我们做好版本号的隐藏。
解决办法
1.nginx版本隐藏
只需要我们在nginx.conf文件的server中添加server_tokens off,例如
server {listen 80;server_tokens off;location / {...}}2. 405 not allowed解决办法
虽然server_tokens off;已经将版本号隐藏,但是405页面依旧暴露了版本号,这已然是有问题的。
网上通用的方法讲的不够详细,下面的方法亲测有效。我这边采用的是405时与200等效处理,避免405页面的展示,或者你也可以转发到其他静态页面也是ok的。
例如
server {listen 80;server_tokens off;location / {proxy_intercept_errors on; #必须配置这行命令,否则不会生效error_page 405 =200 @405; }location @405 {proxy_pass http://+转发的后端ip+端口号+$request_uri; #例如proxy_pass http://127.0.0.1:3000$request_uri;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }}
效果
或者转发到302也是ok的,效果如下
这篇关于nginx版本号隐藏(405 not allowed解决办法)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
