PHPはhttpヘッダの中でバージョン情報をクライアントに伝えている。
知らなかった。たまたまhttpヘッダの中を見て唖然とした。「X-Powered-By ○○」という形ではっきりと伝えている。ApacheのServerTokensをProdにしている意味が半減だ。
調べたところ、php.iniのexpose_phpをoffにすればこの通知はなくなることが判明。
デフォルトでoffにしてくれればいいのに。この設定の説明を読むと、「onでもセキュリティに問題はないよ!」みたいに書いてあるけど、いいのかな?
0 件のコメント:
コメントを投稿