httpヘッダ情報からPHPの情報を隠す

PHPはデフォルトの php.ini の設定のまま使用すると、PHPを使用しているという情報が、httpのヘッダ情報に設定されてしまいます。 私もhttpヘッダ情報のチェックをしていて気づき、対策を施しました。 デフォルトの php.ini の設定のままだと、例えば次のようなヘッダ情報になっています。「X-Powered-By: PHP/5.3.9」との情報が確認できると思います。

[root ~]# curl -I http://www.goofoo.jp/ HTTP/1.1 200 OK Date: Tue, 31 Jan 2012 01:31:38 GMT Server: Apache X-Powered-By: PHP/5.3.9 (略)

これが設定されないようにするには、基本的な方法としては php.ini の設定を、次のように変更します。

[root ~]# vim /etc/php.ini expose_php = On ↓ expose_php = Off

httpヘッダー情報を確認する

httpdやWebアプリケーションの環境の設定の結果として、httpヘッダー情報を確認する必要が出てきます。 特にセキュリティ面でのチェックには欠かせません。

そのhttpヘッダー情報を確認するためには、telnetで接続する方法やWebブラウザの機能を使用するなど様々な方法がありますが、サーバのローカル環境で実行する方法として、次のようにcurlを使用する方法があります。

[root ~]# curl -I http://www.goofoo.jp/ HTTP/1.1 200 OK Date: Fri, 20 Jan 2012 08:59:59 GMT Server: Apache X-Pingback: http://www.goofoo.jp/xmlrpc.php Vary: Accept-Encoding Content-Type: text/html; charset=UTF-8