Server header
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.
Der HTTP-Server-Antwort-Header beschreibt die Software, die vom Ursprungsserver verwendet wurde, um die Anfrage zu bearbeiten und eine Antwort zu generieren.
Die Vorteile, den Servertyp und die Version über diesen Header zu veröffentlichen, liegen darin, dass es bei der Analyse hilft und aufzeigt, wie weit verbreitet bestimmte Interoperabilitätsprobleme sind. Historisch gesehen haben Clients die Serverversionsinformationen genutzt, um bekannte Einschränkungen zu vermeiden, wie z.B. inkonsistente Unterstützung von Range-Abrufen in bestimmten Softwareversionen.
Warnung: Die Präsenz dieses Headers in Antworten, insbesondere wenn er detaillierte Implementierungsinformationen über die Server-Software enthält, könnte es einfacher machen, bekannte Schwachstellen zu erkennen.
Zu viele Details im Server-Header werden aus Gründen der Antwortlatenz und aus dem oben genannten Sicherheitsgrund nicht empfohlen. Es ist umstritten, ob das Verschleiern der Informationen in diesem Header viel Nutzen bringt, da die Fingerabdruckerkennung von Serversoftware auf anderen Wegen möglich ist. Generell ist es eine robustere Herangehensweise an die Serversicherheit, sicherzustellen, dass die Software regelmäßig gegen bekannte Schwachstellen aktualisiert oder gepatcht wird.
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Anfrage-Header | Nein |
Syntax
Server: <product>
Direktiven
<product>-
Ein Name der Software oder des Produkts, das die Anfrage bearbeitet hat. Üblicherweise in einem Format ähnlich dem von
User-Agent.
Beispiele
Server: Apache/2.4.1 (Unix)
Spezifikationen
| Specification |
|---|
| HTTP Semantics # field.server |
Browser-Kompatibilität
Siehe auch
Allow- HTTP Observatory
- Vermeidung von Informationsoffenlegung über HTTP-Header - OWASP Secure Headers Project