Wie entferne ich "X-Runtime" Header von Nginx / Passenger?

8

BEARBEITEN - die Lösung, die ich unten gepostet habe, gilt wahrscheinlich für jeden Server (Nginx / Apache / irgendetwas anderes), weil dieser Header in Rails selbst gesetzt ist.

Jeder weiß, wo der Header "X-Runtime" in Nginx & amp; Passagier?

Ich habe die Quelldateien getippt und noch nichts gefunden, aber ich möchte es aus Sicherheitsgründen loswerden, da es ein verräterisches Zeichen für Rails ist.

    
fig 12.06.2009, 01:34
quelle

5 Antworten

7

Es stellte sich heraus, dass es weder in Nginx noch in Passenger eingestellt wurde.

Es ist in benchmarking.rb in /gems/actionpack-2.3.2/lib/action_controller/, Zeile 90.

    
fig 12.06.2009, 10:40
quelle
5

Ich weiß, dass es eine alte Frage ist, aber weil das Problem immer noch besteht und viele Seiten immer noch die Passagierversion und die Nginx-Version angeben, gebe ich eine Antwort, die sehr gut für mich funktioniert. Dieselbe Lösung gilt für den X-Runtime-Header.

Installiere einfach 3rd Party ngx_headers_more: Ссылка (du musst es von der Quelle neu erstellen). Fügen Sie zu Ihrer Konfiguration hinzu (ich habe /etc/nginx/conf.d/security.conf dafür erstellt): server_tokens aus; more_clear_headers 'Server' 'X-Powered-By' 'X-Laufzeit';

    
radarek 08.09.2010 09:39
quelle
3

In Apache können Sie mod_headers verwenden, um einen Header aus der Antwort (oder der Anfrage) zu entfernen für diese Angelegenheit).

Um die Header zu entfernen, müssen Sie das Modul aktivieren:

%Vor%

Dann können Sie die unset-Option der Header-Direktive verwenden, um sie zu deaktivieren:

%Vor%

Diese Anweisung kann sowohl auf globaler Ebene als auch für den einzelnen virtuellen Server verwendet werden.

    
LucaM 13.06.2009 19:19
quelle
3

Für jeden, der noch darüber stolpert, glaube ich, dass der einfachste und korrekteste Weg dies in config / application.rb ist, indem man folgendes hinzufügt:

%Vor%

Alle anderen Methoden scheinen den Header nicht so sehr zu deaktivieren, als ihn von der Ausgabe zu filtern. Dies ist für rails4, nicht sicher, ob es für andere Versionen gilt.

Aktualisierung:

Der folgende Code in einer Initialisiererdatei kann robuster sein, da das Vorhandensein der Rack :: Runtime-Middleware von einigen anderen Komponenten angenommen werden kann.

%Vor%     
petercai 14.01.2014 04:57
quelle
1

Das Folgende ist für Apache. Ich habe die Frage nicht richtig gelesen. :)

Aktivieren Sie das Header-Modul mod_headers und fügen Sie der Apache-Konfiguration Folgendes hinzu:

%Vor%

Sie werden wahrscheinlich auch den Header X-Powered-By entfernen wollen, also fügen Sie auch folgendes hinzu:

%Vor%     
toholio 12.06.2009 01:39
quelle