Server header
Baseline
Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since Juli 2015.
Der HTTP-Server-Antwortheader beschreibt die Software, die vom Ursprungsserver verwendet wurde, um die Anfrage zu bearbeiten und eine Antwort zu generieren.
Der Vorteil, den Servertyp und die Version über diesen Header zu veröffentlichen, besteht darin, dass dies bei der Analyse hilft und dabei, wie weit verbreitet spezifische Interoperabilitätsprobleme sind. Historisch gesehen haben Clients die Serverversionsinformationen verwendet, um bekannte Einschränkungen zu vermeiden, wie z. B. inkonsistente Unterstützung für Range Requests in bestimmten Softwareversionen.
Warnung: Die Anwesenheit dieses Headers in Antworten, insbesondere wenn er detaillierte Implementierungsdetails über die Serversoftware enthält, kann es erleichtern, bekannte Schwachstellen zu erkennen.
Zu viel Detail im Server-Header wird aus Antwortverzögerungs- und aus den oben genannten Sicherheitsgründen nicht empfohlen.
Es ist umstritten, ob die Verschleierung der Informationen in diesem Header wirklich einen großen Nutzen bringt, da die Erkennung der Serversoftware auch auf andere Weise möglich ist.
Generell ist ein robusterer Ansatz zur Serversicherheit, sicherzustellen, dass die Software regelmäßig aktualisiert oder gegen bekannte Schwachstellen gepatcht wird.
| Header-Typ | Antwortheader |
|---|
Syntax
Server: <product>
Direktiven
<product>-
Ein Name der Software oder des Produkts, das die Anfrage bearbeitet hat. Normalerweise in einem Format ähnlich dem
User-Agent.
Beispiele
Server: Apache/2.4.1 (Unix)
Spezifikationen
| Specification |
|---|
| HTTP Semantics # field.server |
Browser-Kompatibilität
Siehe auch
Allow- HTTP Observatory
- Verhindern der Informationsoffenlegung über HTTP-Header - OWASP Secure Headers Project