我被告知,在我的php.ini是一个安全问题,因此不符合PCI。expose_php = On
到目前为止,我对它的研究表明,关闭它是低风险的,并且基本上会停止在标头中发回PHP版本,但是我想知道此更改背后是否可能存在任何问题。
我正在考虑的潜在问题是第三方服务(支付提供商,电子邮件跟踪系统,视频流API),它们希望您使用标题进行响应,该标头表明您正在运行某个版本的PHP,可能超过某个版本?
这应该是一个无缝的改变,还是有潜在的问题?
没错。
设置只会阻止 Web 服务器发回标头。expose_php = OffX-Powered-By
虽然可以说潜在的黑客可能会寻找具有安全漏洞的PHP的过时版本,但即使关闭了标头,他们也可能这样做。在我看来,这是一件好事,但不要指望它能提供太多的保护。
在与第三方服务交互方面,他们不应该关心你使用的是哪个版本的PHP。他们应该能够以与平台无关的格式(如JSON,XML等)提供内容,以便任何平台都可以使用这些服务,而不仅仅是PHP。
无论如何,对于他们来说,依赖“消费者”的PHP版本是无用的,因为头文件可以很容易地关闭,甚至可能被服务器管理员操纵。
因此,关闭它应该不是问题。
禁用 时应该没有负面的副作用。expose_php
它所做的只是删除标头并阻止GET参数返回PHP信用和图像。X-Powered-By
任何依赖于标头的第三方应用程序都是狡猾的。如果需要,您始终可以欺骗标头。
