歡迎光臨
我們一直在努力

Remove insecure http headers

#Web 滲透與漏洞研究

今天分享一篇關於Http headers帶來的安全影響,沒有用到的就應該關閉或刪除,過多的http headers是不好的。

原文出處:https://veggiespam.com/headers/

波波觀點:HTTP Header 要少而清楚

HTTP Header 會透露網站技術棧、快取策略、安全政策與瀏覽器行為。不是所有 header 都有問題,但不必要的版本資訊、框架標記或錯誤快取設定,可能讓攻擊者更快判斷目標環境。對 WordPress 站台來說,重點是降低資訊洩漏,同時保留安全與快取需要的 header。

建議檢查的項目

  • 資訊洩漏:`Server`、`X-Powered-By`、框架版本、除錯 header。
  • 內容安全:`X-Content-Type-Options`、`Content-Security-Policy`、`Referrer-Policy`。
  • HTTPS:`Strict-Transport-Security`、HTTP 轉 HTTPS、混合內容處理。
  • 快取:登入頁與後台不可被 CDN 快取,公開文章可以快取。

實務建議

安全 header 不是越多越好,而是要符合網站行為。像 WordPress 後台、登入頁、預覽頁與 REST API 應排除快取;公開文章頁則可以交給 Cloudflare 與 Nginx 快取。每次調整後都要用 `curl -I` 驗證,確認安全 header 和快取 header 沒有互相衝突。

延伸閱讀

贊(0) 贊助
未經允許不得轉載:波波的寂寞世界 » Remove insecure http headers

波波的寂寞世界

Facebook聯繫我們

覺得文章有幫助,歡迎贊助支持本站

感謝你的支持,我會持續整理資安筆記、實務經驗與有價值的技術內容。

贊助本站