Python Django-如何在中间件文件中隐藏服务器[HTTP响应头]参数?
在我的Django应用程序中,以下设置确保响应头启用了标准键值对 但是,“服务器”名称和版本信息在默认情况下仍然可见,需要隐藏(暴露的服务器名称和版本是OWASP漏洞) 中间件.py 正如在其他文章中所建议的,这个middleware.py是在settings.py中的middleware的第一个顺序中声明的:Python Django-如何在中间件文件中隐藏服务器[HTTP响应头]参数?,python,django,server,middleware,django-middleware,Python,Django,Server,Middleware,Django Middleware,在我的Django应用程序中,以下设置确保响应头启用了标准键值对 但是,“服务器”名称和版本信息在默认情况下仍然可见,需要隐藏(暴露的服务器名称和版本是OWASP漏洞) 中间件.py 正如在其他文章中所建议的,这个middleware.py是在settings.py中的middleware的第一个顺序中声明的: MIDDLEWARE = [ 'MyApp.middleware.RemoveHeaders', 'MyApp.middleware.MyAppMiddleware',
MIDDLEWARE = [
'MyApp.middleware.RemoveHeaders',
'MyApp.middleware.MyAppMiddleware',
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
from django.utils.deprecation import MiddlewareMixin
# class to import in RemoveHeaders--
class RemoveHeaders(MiddlewareMixin):
# rest of the code
@stackoverflowusrone我从django v3.7源代码中找到了这一点,服务器头如下所示:
但是我不知道如何删除它是否遵循了此操作?是的,我执行了。上面截取的代码已经更新。然而,为处理隐藏响应头而单独创建的“RemoveHeaders”方法在方法调用时抛出错误在
\uuu调用中,我添加了这一行print('response has Server header',response.has_header('Server'))
,它打印了False
。这意味着,Server
header甚至没有在该点设置。我不知道它设置在哪里,第二种方法为什么有效。
from django.utils.deprecation import MiddlewareMixin
# class to import in RemoveHeaders--
class RemoveHeaders(MiddlewareMixin):
# rest of the code