Server
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.
Der HTTP-Server-Antwortheader beschreibt die Software, die vom Ursprungsserver verwendet wurde, der die Anfrage bearbeitet und eine Antwort generiert hat.
Die Vorteile der Bekanntmachung des Servertyps und der Version über diesen Header bestehen darin, dass es bei der Analyse hilft und aufzeigt, wie verbreitet spezifische Interoperabilitätsprobleme sind. Historisch gesehen haben Clients die Serverversionsinformationen verwendet, um bekannte Einschränkungen zu vermeiden, wie zum Beispiel inkonsistente Unterstützung von Range-Anfragen in bestimmten Softwareversionen.
Warnung: Die Anwesenheit dieses Headers in Antworten, insbesondere wenn er detaillierte Implementierungsinformationen über die Serversoftware enthält, kann es einfacher machen, bekannte Schwachstellen zu erkennen.
Zu viele Details im Server-Header werden aufgrund der oben genannten Sicherheits- und Latenzgründe nicht empfohlen. Es ist fraglich, ob das Verschleiern der Informationen in diesem Header viel Nutzen bringt, da das Erkennen der Serversoftware durch andere Methoden möglich ist. Generell ist ein robusterer Ansatz zur Serversicherheit, die Software regelmäßig zu aktualisieren oder gegen bekannte Schwachstellen zu patchen.
| Headertyp | Antwortheader |
|---|---|
| Verbotener Anfrageheader | Nein |
Syntax
Server: <product>
Direktiven
<product>-
Der Name der Software oder des Produkts, das die Anfrage bearbeitet hat. Üblicherweise in einem ähnlichen Format wie
User-Agent.
Beispiele
Server: Apache/2.4.1 (Unix)
Spezifikationen
| Specification |
|---|
| HTTP Semantics # field.server |
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
Allow- HTTP Observatory
- Verhindern von Informationsoffenlegung über HTTP-Header - OWASP Secure Headers Project