Я использую модуль NPM helmet, чтобы избавиться от X-Powered-By, но не уверен в заголовке Server. Я прочитал Remove headers for security, но не уверен, как избавиться от заголовка Server с использованием модуля helmet.Исключает заголовок «X-Powered-By» автоматически исключает заголовок «Сервер» из ответа HTTP
Вкратце: Шлем не касается заголовка Server.
Я поддерживаю шлем, и в нем нет ничего, что связано с заголовком Server так или иначе. Если заголовок не установлен, Helmet не установит его; если заголовок установлен, шлем не удалит его.
Экспресс не устанавливает заголовок Server либо, насколько я знаю. Это означает, что этот заголовок идет откуда-то еще, вероятно, сервер «перед вашим» сервером Express, например nginx.
Вы можете попробовать что-то вроде этого, но это может не сработать, если есть что-то «перед вашим» сервером.
app.use(function (req, res, next) {
res.removeHeader('Server');
next();
});
Преимущества, связанные с удалением этих заголовков, по-моему, минимальны. Он останавливает очень маленькую подгруппу атакующих: те, кто смотрит на эти заголовки, выясняют, какие технологии набирают ваш сайт, пытаются атаковать, а затем сдаются. У атакующих есть другие признаки того, что ваш сайт является уязвимостью Express. Они также могут попробовать атаки, которые не являются специфичными для Express. Или они могут попробовать экспресс-атаки, даже если они не уверены, что это Экспресс! Дуг Уилсон, ведущий разработчик Express, shares this sentiment.