我们有一个运行 IIS7 和安装 php 5.3.17 的 Win2008 服务器。
出于渗透测试和其他安全目的,我们希望删除标头响应:“X-Powered-By: PHP/5.3.17”,因此我们尝试关闭 c:\php\php.ini 文件中的“expose_php”选项,并且安装了 UrlScan 3.1 及其对应的“RemoveServerHeader = 1”,但最后一个 urlscan 似乎仅适用于 IIS 标头,我们还使用以下指令修改了 web.config 文件:
<system.webServer>
<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />
</customHeaders>
</httpProtocol>
</system.webServer>
上述两种解决方案均无效。因此,我最大的问题是,我们还能修改什么来从 IIS 服务器中删除此 php 标头?这是一个相当烦人的问题,因为在其他类似(win2008、IIS7、PHP5)服务器上,我们只需修改 php.ini 文件,它就可以正常工作!!!
我们将非常感谢您的评论和帮助,提前致谢。
答案1
需要expose_php=off在PHP配置中进行设置。
看https://stackoverflow.com/questions/2661799/removing-x-powered-by
答案2
尝试设置
HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\DisableServerHeader
注册表项的 REG_DWORD 为 1。