X-Powered-By

X-Powered-By

Hlavička X-Powered-By sděluje na jakém systému, frameworku nebo aplikaci je web provozován.

X-Powered-By je nestandardizovaná informativní hlavička, kterou používají některé systémy a aplikace. Tuto hlavičku můžeme považovat i za bezpečnostní riziko, neboť odhaluje informace, které by jinak mohly být obtížněji zjistitelné. Případný útočník tak může automatizovat procesy testování exploitů a zranitelnosti na nalezených systémech.

Proč (ne)používat X-Powered-By

Smyslem hlavičky X-Powered-By je pouze poskytovat informace o konkrétním webovém serveru nebo aplikaci a nemá jiný účel. Zobrazení těchto informací nemusí být žádoucí, je vhodné je "přepsat" nebo rovnou toto záhlaví v aplikaci nebo na serveru deaktivovat, aby případní útočníci nemohli jednoduše odhalit používaný software.

Syntaxe

Header add Custom-Header "parameter=value"

Podobné hlavičky jsou také X-AspNet-Version a X-AspNetMvc-Version.

Definice hlavičky X-Powered-By

Vytvoření označení vlastní aplikace
X-Powered-By: "myAPP"

Nastavení X-Powered-By

.htaccess
# X-Powered-By settings
Header set X-Powered-By "myWebAPP"
Odstranění hlavičky X-Powered-By
Header unset X-Powered-By

Odstranění hlavičky nemusí fungovat pro všechny systémy a aplikace.

Nginx
add_header X-Powered-By "myWebAPP";

Potenciální chyby v nastavení

Častý problém není v nastavení hlavičky, ale naopak ve snaze hlavičku odstranit.
Podobnou hlavičku SERVER Apache/x.x.xx (Debian) nelze odstranit v .htaccess.

Užitečné zdroje

Reálné X-Powered-By hlavičky

Ukázka odesílaných hlaviček systému pro "Elektronické podání občanů".

Server: Microsoft-IIS/8.5
X-Powered-By: Nette Framework
X-Powered-By: ASP.NET