レスポンスヘッダのPHPのバージョン情報を隠す

ほんとに今更感があるが、ちょっとしたことでもブログに書いておこうと思う。

親切心からかPHPはデフォルトでレスポンスヘッダにPHPのバージョン情報を出力しています。

1
2
3
4
5
6
HTTP/1.1 200 OK
Date: Wed,  24 Apr 2013 13:46:59 GMT
Server: Apache
X-Powered-By: PHP/5.2.0
Content-Length: 2558
Content-Type: text/html; charset=UTF-8

PHPのバージョン出力を抑制する

PHPのバージョン情報が出力されると、そのバージョンの脆弱性を狙った攻撃を受ける可能性がある為、PHPのバージョン情報を出力しないよう設定行います。

php.ini に次の設定を加え、Apache or Nginx の再起動します。

1
expose_php=Off

設定を加えた後のレスポンスヘッダ

1
2
3
4
5
6
HTTP/1.1 200 OK
Date: Wed,  24 Apr 2013 13:46:59 GMT
Server: Apache
Content-Length: 2558
Content-Type: text/html; charset=UTF-8
...

バージョン情報が出力されていないことが確認できます。 セキュリティ上 Webサーバのバージョン情報も抑制したほうがよいでしょう。

ヘッダ情報の確認方法

以下の方法で簡単にヘッダ情報を確認できます。

wgetコマンドでも確認できますがmacはデフォルトではwgetコマンドがインストールされていないのでcurlを利用するのがいいと思います。Winはtelnet?

1
curl -I http://hoge.com

Comments