HTTP 响应 Header 以识别响应请求的实际服务器
HTTP Response Header to identify actual server that responded to request
我正要向我们的 Web 应用程序中的所有响应添加一个 HTTP header,以识别负载均衡器后面的哪个物理节点为请求提供服务。
我想也许有一个标准(或事实上的标准)header 一直用于此目的。
有吗?
您可以使用的一个潜在响应 header 是 "Server" header。通过 RFC 2616,我们可以看到它用于识别软件和任何用于处理请求的 sub-products,它不应该被服务器和客户端之间的任何代理/负载平衡器改变。
通常这会显示一些建议的敏感信息(HTTP 服务器的名称和版本号)。许多人建议完全删除服务器 header 以提高安全性 (see this Stack Overflow question about someone doing this)。
您几乎可以将此视为一石二鸟:为您提供一些方法来识别您这边用于处理请求的服务器,并为满足某些安全问题的攻击者轻微混淆服务器(尽管如此,FWIW,我从安全角度来看,我不相信它的价值,但值得一提)。
我正要向我们的 Web 应用程序中的所有响应添加一个 HTTP header,以识别负载均衡器后面的哪个物理节点为请求提供服务。
我想也许有一个标准(或事实上的标准)header 一直用于此目的。
有吗?
您可以使用的一个潜在响应 header 是 "Server" header。通过 RFC 2616,我们可以看到它用于识别软件和任何用于处理请求的 sub-products,它不应该被服务器和客户端之间的任何代理/负载平衡器改变。
通常这会显示一些建议的敏感信息(HTTP 服务器的名称和版本号)。许多人建议完全删除服务器 header 以提高安全性 (see this Stack Overflow question about someone doing this)。
您几乎可以将此视为一石二鸟:为您提供一些方法来识别您这边用于处理请求的服务器,并为满足某些安全问题的攻击者轻微混淆服务器(尽管如此,FWIW,我从安全角度来看,我不相信它的价值,但值得一提)。