X-Mod-Pagespeed header

В целях безопасности стоит скрывать информацию о версиях ПО, используемого на проектах. Apache, PHP и mod_pagespeed — не исключение.

Apache, PHP и PageSpeed Module в конфигурациях по умолчанию могут добавлять следующие заголовки к ответу сервера:

Server:Apache/2.2.16 (Debian)
X-Mod-Pagespeed:1.3.25.3-2556
X-Powered-By:PHP/5.3.3-7+squeeze14

Информация из подобных заголовков, в свою очередь, может быть использована злоумышленниками, как в случае с mod_pagespeed XSS vulnerability.

Сокрытие, модификация или подделка данных заголовков не является панацеей, но поможет избежать излишних неприятностей.

Запретить передачу заголовков для Apache можно с помощью директивы ServerSignature, установив в htaccess:

ServerSignature Off

для PHP — в php.ini:

expose_php = Off

Отключение заголовка X-Mod-Pagespeed не рекомендуется во избежании «зацикливания» (хотя это и возможно посредством mod_header и
Header unset X-Mod-Pagespeed).
Однако, возможно модифицировать значение заголовка с помощью:

ModPagespeedXHeaderValue "Custom header text"

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *