Server
Baseline Widely available
This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015.
Der Server-Header beschreibt die Software, die vom Ursprungsserver verwendet wurde, um die Anfrage zu bearbeiten und eine Antwort zu erzeugen.
Die Vorteile, den Servertyp und die Version über diesen Header bekanntzugeben, liegen darin, dass es bei der Analyse und der Identifizierung der Verbreitung spezifischer Interoperabilitätsprobleme hilft. Historisch haben Clients die Versionsinformationen des Servers genutzt, um bekannte Einschränkungen zu umgehen, wie zum Beispiel die inkonsistente Unterstützung von Range-Anfragen in bestimmten Softwareversionen.
Warnung: Die Anwesenheit dieses Headers in Antworten, besonders wenn er detaillierte Implementierungsdetails zur Server-Software enthält, kann es erleichtern, bekannte Sicherheitslücken zu erkennen.
Zu viele Details im Server-Header werden aufgrund der oben genannten Gründe zur Antwortlatenz und Sicherheit nicht empfohlen. Es ist umstritten, ob das Verschleiern der Informationen in diesem Header viel Nutzen bietet, da das Fingerabdrucknehmen von Server-Software auch auf andere Weise möglich ist. Generell ist ein robusterer Ansatz zur Serversicherheit, sicherzustellen, dass die Software regelmäßig aktualisiert oder gegen bekannte Schwachstellen gepatcht wird.
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Header-Name | nein |
Syntax
Server: <product>
Direktiven
<product>-
Ein Name der Software oder des Produkts, das die Anfrage bearbeitet hat. Normalerweise in einem Format ähnlich dem
User-Agent.
Beispiele
Server: Apache/2.4.1 (Unix)
Spezifikationen
| Specification |
|---|
| HTTP Semantics # field.server |
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
Allow- HTTP Observatory
- Vermeidung der Informationsweitergabe über HTTP-Header - OWASP Secure Headers Project