我们有一个基于 Silverstripe / PHP / Apache Tomcat 构建的网站。对于所有有效请求,页面未找到和后端不可用的重定向工作正常,这些在 .htacess 中配置。
如果出现invalid请求(我猜有一些由 Silverstripe 生成的 URL),则不会重定向到错误页面。在这种情况下,Apache Web 服务器签名会显示在浏览器上,攻击者可以利用该签名对应用程序发起进一步的攻击。
我们尝试了以下设置,但没有成功
在 Apache 配置文件中:
ServerSignature Off
ServerTokens Prod
如果需要,很乐意分享更多详细信息。
谢谢!