如何更改 nginx 返回的服务器标头?

【问题标题】:How do you change the server header returned by nginx?如何更改 nginx 返回的服务器标头?
【发布时间】:2010-09-19 18:16:06
【问题描述】:

有一个隐藏版本的选项,所以它只会显示 nginx,但是有没有办法也隐藏它,所以它不会显示任何内容或更改标题?

【问题讨论】:

  • 顺便说一句,要隐藏 nginx 版本,您需要设置 'server_tokens off'。
  • 如果您关心从标头中删除 nginx,您可能还希望将其从重定向和错误页面中删除。

标签: nginx http-headers


【解决方案1】:

如果您使用 nginx 代理后端应用程序并希望后端宣传其自己的 Server: 标头而不被 nginx 覆盖,那么您可以进入您的 server {…} 节并设置:

proxy_pass_header Server;

这将说服 nginx 不理会该标头,而不是重写后端设置的值。

【讨论】:

  • 如果您出于安全原因进行此更改,我不确定这是否足够。如果你的服务器需要返回错误信息,header 仍然是 'nginx'
  • 虽然这很容易解决问题,但是有一点需要考虑:当使用反向代理时,静态文件是通过 nginx 提供的,所以当你打开例如firebug net 面板中的图像,您仍然可以将服务器视为 nginx
  • 国际海事组织,这是最好的答案。此解决方案不需要任何特殊的软件扩展,并且可以与基础 nginx 一起使用。
  • 这对我来说适用于 Tornado,并且由于在 tornado 中您可以返回自定义标题,这是最好的答案,添加到 tornado self.set_header("Server", "Custom name")
【解决方案2】:

上一次更新是在不久前,所以这就是我在 Ubuntu 上的工作:

sudo apt-get update
sudo apt-get install nginx-extras

然后将以下两行添加到nginx.confhttp部分,该部分通常位于/etc/nginx/nginx.conf:

sudo nano /etc/nginx/nginx.conf
server_tokens off; # removed pound sign
more_set_headers 'Server: Eff_You_Script_Kiddies!';

另外,别忘了用sudo service nginx restart重启nginx。

【讨论】:

  • YUM 上有类似的东西吗? yum install nginx-extras 不起作用。
  • @PKHunter 我还没有尝试过百胜的恶魔之舌,但我会看看我能找到什么。
  • 设置一个空字符串到服务器:将抑制服务器头:more_set_headers 'Server: ';
  • 谢谢你,这就像一个魅力,无需任何重新编译。干得好;)
  • sudo apt-get install nginx-extras 然后在 nginx.conf 中转到 http 部分并添加这两行 server_tokens off; more_clear_headers Server;
【解决方案3】:

与 Apache 一样,这是对源代码的快速编辑和重新编译。来自Calomel.org

服务器:字符串是标头 被发回给客户告诉 他们是什么类型的 http 服务器 运行,可能是什么版本。 这个字符串被像这样的地方使用 Alexia 和 Netcraft 收集 关于多少和什么的统计 网络服务器的类型在 互联网。为了支持作者和 我们推荐的 Nginx 统计信息 保持这个字符串不变。但对于 您可能不希望人们使用的安全性 知道你在跑什么,你可以 在源代码中更改它。编辑 源文件 src/http/ngx_http_header_filter_module.c 看看第 48 和 49 行。你可以 将字符串更改为您的任何内容 想要。

## vi src/http/ngx_http_header_filter_module.c (lines 48 and 49)
static char ngx_http_server_string[] = "Server: MyDomain.com" CRLF;
static char ngx_http_server_full_string[] = "Server: MyDomain.com" CRLF;

2011 年 3 月编辑: 支持 Flavius 指出一个新选项,将 Nginx 的标准 HttpHeadersModule 替换为分叉的 HttpHeadersMoreModule。重新编译标准模块仍然是快速修复,如果您想使用标准模块并且不会经常更改服务器字符串,那么它是有意义的。但是,如果您想要更多,HttpHeadersMoreModule 是一个强大的项目,它可以让您使用 HTTP 标头执行各种运行时黑魔法。

【讨论】:

  • 使用'server_tokens off;'是迄今为止最简单的方法...确保将其放在“http”或“服务器”块中
  • 隐藏了版本号,但问题是“我知道我可以隐藏版本号,如何更改或删除整个 'Server' 字符串?”使用开箱即用的 nginx 无法做到这一点。
  • 另一个快速修复(对于版本 1.7.8)完全删除服务器头是:注释掉第 49 和 50 行(对应于上面的第 48、49 行)、280-283 和 458-469。供将来参考:最后两个都是设置 r->headers_out.server 的 if 块。
  • 这个答案现在有点老了。 @jamescampbell 的回答现在更准确了。
  • 如果您打算使用此方法屏蔽您的服务器,您可能还需要编辑 src/http/ngx_http_special_response.c 文件以更改服务器的错误消息。
【解决方案4】:

很简单:将这些行添加到服务器部分:

server_tokens off;
more_set_headers 'Server: My Very Own Server';

【讨论】:

  • 你必须用第三方模块wiki.nginx.org/HttpHeadersMoreModule编译nginx
  • 在 Ubuntu 上,您可以安装 nginx-extra 来获取该模块。
  • 如果我们相信 apt-get autoexpansion,它是 nginx-extras,末尾有一个“s”
  • 注意,您需要“Server:”前缀来覆盖现有的 Server: 值。
【解决方案5】:

简单,编辑 /etc/nginx/nginx.conf 并删除注释

#server_tokens off;

搜索 http 部分。

【讨论】:

  • 这很好用,一旦你这样做了,你就可以在标题信息中看到关于服务器的所有信息:nginx(无版本号)谢谢! :D
  • 问题的作者已经知道这个选项,它会删除版本号,但不允许您自定义“服务器”标头中返回的值。
  • 这不会隐藏所有内容,只会隐藏服务器版本。
  • 不移除 Server=nginx 的响应头
  • 我认为传递 nginx 的版本是一个安全问题。所以对于很多人来说,这是一个“足够好”的解决方案。另外值得注意的是,这必须进入每个服务器块,以防您有端口 80 和 443 的服务器块。
【解决方案6】:

安装 Nginx 附加功能

sudo apt-get update
sudo apt-get install nginx-extras

可以通过在 nginx.conf 中添加以下两行(在 http 部分下)从响应中删除服务器详细信息

more_clear_headers Server;
server_tokens off;

【讨论】:

  • 一,这就是上面提到的@jamescampbell。其次,这需要从源代码编译 Nginx(yum install nginx-extras 不起作用 - 我想这适用于带有 apt-get 的 Debia/Ubuntu 等。)
  • 它可以在没有从源代码编译 nginx 的情况下工作。您只需要从 nginx.conf 加载模块:ngx_http_headers_more_filter_module
  • 运行“apt-get install nginx-extras”后,我的nginx版本从1.16降到了1.14
  • 在 raspberry 上运行良好,目前支持的最新 nginx 版本似乎是 1.14.2。这里不需要重新编译。
【解决方案7】:

有一个特殊的模块:http://wiki.nginx.org/NginxHttpHeadersMoreModule

此模块允许您添加、设置或清除您指定的任何输出或输入标头。

这是标准headers 模块的增强版本,因为它提供了更多实用程序,例如重置或清除“内置标头”,例如Content-TypeContent-LengthServer

它还允许您使用-s 选项指定可选的HTTP 状态代码标准,并使用-t 选项指定可选的内容类型标准,同时使用more_set_headersmore_clear_headers 指令修改输出标头。 .

【讨论】:

【解决方案8】:

如果您可以将标题更改为另一个五个字母或更少字母的字符串,您可以简单地修补二进制文件。

sed -i 's/nginx\r/thing\r/' `which nginx`

作为一种解决方案,它具有一些显着的优势。也就是说,即使 nginx-extras 不适用于您的发行版,您也可以允许包管理器处理您的 nginx 版本控制(因此,不从源代码编译),并且您无需担心任何额外的像 nginx-extras 这样的代码易受攻击。

当然,您还需要设置选项server_tokens off,以隐藏版本号,或者也修补该格式字符串。

我说“五个字母或更少”是因为您当然可以随时替换:

nginx\r\0

鲍勃\r\0\r\0

保持最后两个字节不变。

如果您确实需要五个以上的字符,则需要保留 server_tokens 并替换(稍长)格式字符串,尽管格式字符串的长度再次对该长度施加了上限 - 1 (用于回车)。

...如果上述方法对您没有意义,或者您以前从未修补过二进制文件,那么您可能希望远离这种方法。

【讨论】:

  • @PKHunter 嗯?这样做的好处是它无需从头开始编译。不涉及源代码。它直接修补已编译的 binary
  • 它根本不知道文件格式——它只是用不同的字节序列替换一个字节序列——所以实际上验证你要替换的字节序列真的只是您要替换的字符串,而不是子例程中的可执行代码(这不太可能,但仍然如此)。
  • 所以你只需运行上面的sed 命令,`which nginx` 部分返回二进制文件的路径,sed 命令执行字节替换。
  • 答案后面提到的空字节是指您可以使用比字符串的全长更短的标头,只要您以空字节结束替换即可。 en.wikipedia.org/wiki/Null-terminated_string
  • 啊。是的,它是可执行文件。而且您还需要是对该文件具有写入权限的用户。如果您需要重新启动 nginx 以使更改生效,我不会感到惊讶。说了这么多?我敦促您不要使用其他答案之一。如果您对我所说的所有内容都不熟悉,并且您不知道 /etc 目录的用途,那么像这样的 hack 有点危险。
【解决方案9】:

根据 nginx documentation 它支持自定义值甚至排除:

Syntax: server_tokens on | off | build | string;

但遗憾的是只有商业订阅

此外,作为我们商业订阅的一部分,从 版本 1.9.13 错误页面上的签名和“服务器”响应 可以使用字符串显式设置标头字段值 变量。空字符串禁用“服务器”的发射 字段。

【讨论】:

  • 那是nginx PLUS,是付费的企业版服务器。
【解决方案10】:

唯一的方法是修改文件 src/http/ngx_http_header_filter_module.c 。我将第 48 行的 nginx 更改为不同的字符串。

您可以在 nginx 配置文件中将 server_tokens 设置为关闭。这将阻止 nginx 打印版本号。

要检查一下,试试 curl -I http://vurbu.com/ | grep 服务器

它应该返回

Server: Hai

【讨论】:

  • 嗯,这不是唯一的方法。其他回复中显示了其他替代方案。
  • 大多数人不会从源代码安装。他们使用像 yum 或 dnf 这样的 repo 安装程序。
【解决方案11】:

在阅读了 Parthian Shot 的答案后,我深入研究了 /usr/sbin/nginx 二进制文件。然后我发现该文件包含这三行。 

Server: nginx/1.12.2
Server: nginx/1.12.2
Server: nginx

基本上前两个用于server_tokens on; 指令(包括服务器版本)。 然后我更改搜索条件以匹配二进制文件中的那些行。

sed -i 's/Server: nginx/Server: thing/' `which nginx`

深入挖掘后发现nginx产生的错误信息也包含在这个文件中。

<hr><center>nginx</center>

一共有三个,一个不带版本,两个带版本。所以我运行以下命令来替换错误消息中的 nginx 字符串。

sed -i 's/center>nginx/center>thing/' `which nginx`

【讨论】:

  • 谢谢。但是您在 /usr/sbin 文件夹中执行的第一个命令会产生以下结果:sed: can't read is: No such file or directory
【解决方案12】:

我知道这篇文章有点老了,但我找到了一个简单的解决方案,它可以在基于 Debian 的发行版上运行,而无需从源代码编译 nginx。

首先安装 nginx-extras 包

sudo apt install nginx-extras

然后通过编辑 nginx.conf 并在 server 块中添加以下行来加载 nginx http headers more 模块

加载模块模块/ngx_http_headers_more_filter_module.so;

完成后,您将可以访问 more_set_headers 和 more_clear_headers 指令。

【讨论】:

    【解决方案13】:

    Nginx-extra 包现已弃用。

    因此,当我尝试安装各种软件包时,以下内容现在对我有用 more_set_headers '服务器:我自己的服务器';

    您只需执行以下操作,就不会发回任何服务器或版本信息

        server_tokens '';

    如果你只是想删除版本号,这可行

       server_tokens off;

    【讨论】:

    • 您的解决方案产生以下错误nginx: [emerg] invalid value "suckit" in /etc/nginx...
    • @AltimusPrime,只需设置空引号。不要在引号之间传递任何字符串。它就像一个魅力。感谢 LazyDeveloper
    • @LazyDeveloper 空字符串值也不起作用
    • 对我也不起作用
    • 请注意:我使用的是 Nginx Plus - 付费版。我不确定这是否在免费版本中受到限制。
    【解决方案14】:

    您是在询问响应中的 Server 标头值吗?您可以尝试使用 add_header 指令更改它,但我不确定它是否会起作用。 http://wiki.codemongers.com/NginxHttpHeadersModule

    【讨论】:

    • 是的,服务器标头。但是没有像在 lighttpd 上那样更干净的方式,例如我只有 server.tag="whatever" 吗? add_header 仅适用于响应代码 200、204、301、302 或 304,因此如果服务器以某种方式执行 500,它将无法正常工作
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-06-27
    • 2014-08-27
    • 1970-01-01
    • 2011-09-24
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode