Server header
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.
Der HTTP-ServerAntwort-Header beschreibt die Software, die vom Ursprungsserver verwendet wurde, um die Anfrage zu bearbeiten und eine Antwort zu generieren.
Der Vorteil der Angabe des Servertyps und der Version über diesen Header besteht darin, dass er bei der Analyse hilft und aufzeigt, wie weit verbreitet bestimmte Interoperabilitätsprobleme sind. Historisch gesehen haben Clients die Serverversionsinformationen verwendet, um bekannte Einschränkungen zu umgehen, wie zum Beispiel inkonsistente Unterstützung für Bereichsanfragen in bestimmten Softwareversionen.
Warnung: Die Anwesenheit dieses Headers in Antworten, insbesondere wenn er detaillierte Implementierungsdetails über die Server-Software enthält, kann es einfacher machen, bekannte Schwachstellen zu erkennen.
Zu viele Details im Server-Header sind aus Gründen der Antwortlatenz und der oben genannten Sicherheitsgründe nicht ratsam. Es ist umstritten, ob die Verschleierung der Informationen in diesem Header viel Nutzen bringt, da das Fingerprinting von Server-Software auch auf andere Weise möglich ist. Im Allgemeinen ist ein robusterer Ansatz für die Serversicherheit sicherzustellen, dass die Software regelmäßig aktualisiert oder gegen bekannte Schwachstellen gepatcht wird.
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Anforderungs-Header | Nein |
Syntax
Server: <product>
Direktiven
<product>-
Ein Name der Software oder des Produkts, das die Anfrage bearbeitet hat. Üblicherweise in einem Format ähnlich zu
User-Agent.
Beispiele
Server: Apache/2.4.1 (Unix)
Spezifikationen
| Specification |
|---|
| HTTP Semantics # field.server |
Browser-Kompatibilität
Siehe auch
Allow- HTTP Observatory
- Verhindern von Informationsoffenlegung über HTTP-Header - OWASP Secure Headers Project