155 votes

Castor avatar

Suppression de X-Powered-By

Demandé el 18 de Avril, 2010
Quand la question a-t-elle été
20171 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

  1. Comment puis-je supprimer l'en-tête X-Powered-By en PHP ? Je suis sur un serveur Apache et j'utilise php 5.21. Je ne peux pas utiliser la fonction header_remove de php car elle n'est pas supportée par la version 5.21. J'ai utilisé Header unset X-Powered-By, cela a fonctionné sur ma machine locale, mais pas sur mon serveur de production.

  2. Si php ne supporte pas header_remove() pour ver < 5.3, y a-t-il une alternative ?

Demandé el 18 de Avril, 2010 par Castor

0 votes

Avatar de Castor

Version PHP en production : PHP/5.2.13 Version PHP en local : PHP/5.2.11 Version d'Apache sur la production : Apache/2.2.15 (Unix) Version d'Apache en local : Apache 2.0.63 (avec MAMP sur Mac)

Commenté el 18 de Avril, 2010 par Castor

0 votes

Avatar de Pacerier

Faites également attention à la œufs de Pâques .

Commenté el 11 de Décembre, 2014 par Pacerier

Réponses

Trop de publicités?

257voto

Pekka 웃 avatar
Pekka 웃 Points 249607

Je pense que c'est contrôlé par le expose_php à l'intérieur PHP.ini :

expose_php = off

Détermine si PHP peut exposer le fait qu'il est installé sur le serveur (par exemple, en ajoutant sa signature à l'en-tête du serveur Web). Ce n'est en aucun cas une menace pour la sécurité, mais cela permet de déterminer si vous utilisez PHP sur votre serveur ou non.

Il n'y a pas de risque de sécurité direct, mais comme le note David C, exposer une version obsolète (et peut-être vulnérable) de PHP peut être une invitation pour les gens à essayer de l'attaquer.

Répondu el 18 de Avril, 2010 par Pekka 웃 (249607 Points )

35 votes

Avatar de David

Il ne constitue en aucun cas une menace pour la sécurité. Cela peut être faux pour les anciennes versions de php fonctionnant sur un serveur hébergé. J'ai entendu dire que les pirates peuvent exploiter des "trous" bien documentés dans les anciennes versions. Il est préférable de cacher ce fait.....

Commenté el 17 de Juillet, 2012 par David

0 votes

Avatar de Question Mark

Ou bien annoncez que vous êtes entièrement à jour et que vous avez des correctifs et ne tentez rien de drôle.

Commenté el 6 de Février, 2013 par Question Mark

17 votes

Avatar de Mike Purcell

Être "entièrement à jour" est un faux positif. Il est préférable de désactiver complètement l'information. Il est possible qu'une version publiée hier comporte déjà une menace exposée et, selon l'agressivité de votre cycle de mise à jour, elle peut le rester pendant un certain temps. Il est préférable de les laisser dans l'ignorance. Je cache autant que je peux les versions de nginx.

Commenté el 11 de Janvier, 2014 par Mike Purcell
Afficher 5 autres commentaires

80voto

Pepper avatar
Pepper Points 927 
header_remove("X-Powered-By");

https://secure.php.net/manual/en/function.header-remove.php

Répondu el 28 de Juin, 2013 par Pepper (927 Points )

3 votes

Avatar de jcubic

Cette solution fonctionne à partir de php, expose_php = off ne fonctionnent pas dans les fichiers .htaccess ou php.

Commenté el 22 de Décembre, 2017 par jcubic

55voto

Gumbo avatar
Gumbo Points 279147

Si vous ne pouvez pas désactiver le expose_php directive pour couper la parole à PHP (nécessite l'accès à l'interface de l'entreprise). php.ini ), vous pouvez utiliser Apache Header directive pour supprimer le champ d'en-tête :

Header unset X-Powered-By
Répondu el 18 de Avril, 2010 par Gumbo (279147 Points )

3 votes

Avatar de Castor

Cela ne fonctionne pas sur mon serveur de production. En revanche, il fonctionne sur ma machine locale. Avez-vous une idée de la raison pour laquelle cela se produit ?

Commenté el 18 de Avril, 2010 par Castor

0 votes

Avatar de Pekka 웃

@Castor Quelles versions du serveur utilisez-vous en local et sur la machine de production ? Y a-t-il des différences dans la configuration de PHP ?

Commenté el 18 de Avril, 2010 par Pekka 웃

0 votes

Avatar de Castor

Version PHP en production : PHP/5.2.13 Version de PHP en local : PHP/5.2.11 Version d'Apache sur la production : Apache/2.2.15 (Unix) Version d'Apache en local : Apache 2.0.63 (avec MAMP sur Mac)

Commenté el 18 de Avril, 2010 par Castor
Afficher 6 autres commentaires

26voto

how avatar
how Points 950 
if (function_exists('header_remove')) {
    header_remove('X-Powered-By'); // PHP 5.3+
} else {
    @ini_set('expose_php', 'off');
}
Répondu el 6 de Août, 2014 par how (950 Points )

16voto

MainMa avatar
MainMa Points 10849

Si vous avez accès au fichier php.ini, définissez les paramètres suivants expose_php = Off .

Répondu el 18 de Avril, 2010 par MainMa (10849 Points )

3 votes

Avatar de Castor

Eh bien, j'ai réussi à faire fonctionner ceci à partir du code php. header("X-Powered-By : ") ; En réglant l'en-tête X-Powered-By sur rien, cela l'a supprimé. Merci à tous pour votre temps et vos suggestions.

Commenté el 18 de Avril, 2010 par Castor

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X