有没有办法配置 Apache 以断开任何导致 HTTP 状态不是 200(或可能是状态代码列表)的请求的连接?这个想法是,当发出无效请求时,只需终止连接,而不是向探测服务器的黑客返回任何信息。我正在考虑类似于 iptables DROP 规则的东西,但是在应用程序层。
我意识到这不能替代其他安全措施(防火墙、反向代理、mod_security、访问控制、非默认错误页面等),但它是一种附加措施。
答案1
您可以让 403 返回 404 页面和状态代码(确保两者都是!),这样可以吓跑那些四处窥探的人。我相信 Google 和许多其他大型网站都这样做。但是,在出现这样的错误后断开连接并没有什么帮助(甚至可能有害)。