HTTP標頭欄位測試網站”Security Headers“為了因應新推出的安全標準,
似乎在幾個月前稍微修改了其評價指標,使原本已經達到A級的本部落格又掉到了B級;
稍微看了報表,發現從前的”Feature Policy”已經改為”Permissions Policy”,語法也有更動,
想說反正這個部落格未來也不會用到任何像是錄音、相機或地理資訊特殊權限,
便花了點時間重新補足這一部份,將安全評價拉回到了A級…..
然而另一個可能會洩露伺服器資訊的”X-Powered-By”欄位卻是怎樣都處理不掉 “orz
根據”Security Headers”報表中提供的指南”Hardening your HTTP response headers“,
該資訊可以從php.ini內關閉,只要將”expose_php”從On改為Off即可,
不過我找半天都找不到php.ini放在哪…..上主機商Hostinger的知識庫查詢,
才在”How can I change the php.ini file?“這一條目中得到答案:
“Access to the php.ini file is not allowed for Shared Hosting customers here.“
嗯…..好吧,都忘記我是用Shared Hosting,很多地方不是我想動就動,
但隱藏PHP版本這麼簡單的事情沒道理拽著不讓人改,
於是回頭到Hostinger自家的hPanel看有什麼選項能微調,
結果總算在”Advanced”區域內的”PHP Configurations”找到了:
只要將PHP Configurations內的expose_php選項取消勾選,
即可順利消去HTTP headers中的X-Powered-By欄位!
之前大多是用cPanel而非hPanel,所以沒注意到原來這邊就能改,
稍微紀錄一下處理過程,以免過幾年換主機商之後又忘記 ww