블로그

HTTP 헤더에서 PHP 정보 없애기

PHP 모듈을 사용시에 HTTP 헤더 정보를 보면 PHP 버전 정보가 나오는 경우가 있습니다. 아래와 같이 telnet 으로 테스트를 해 볼 수 있습니다. X-Powered-BY 라는 헤더에 PHP 정보가 노출되는 것을 볼 수 있습니다.

# telnet localhost 8001
Trying ::1...
Connected to localhost.
Escape character is '^]'.
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Date: Thu, 07 May 2015 02:06:43 GMT
Server: Apache/2.4.7 (Ubuntu)
X-Powered-By: PHP/5.6.8
Connection: close
Content-Type: text/html; charset=UTF-8

Connection closed by foreign host.

php.ini 의 expose_php 옵션을 Off 로 하면 위의 헤더 정보를 감출 수 있습니다.

expose_php = Off

# telnet localhost 8001
Trying ::1...
Connected to localhost.
Escape character is '^]'.
HEAD / HTTP/1.0

HTTP/1.1 200 OK
Date: Thu, 07 May 2015 02:06:43 GMT
Server: Apache/2.4.7 (Ubuntu)
Connection: close
Content-Type: text/html; charset=UTF-8

Connection closed by foreign host.