浏览器通常有些插件 (比如:wappalyzer.com) 根据一些网站使用的技术栈,出于安全或者其他方面考虑。
请教同学们有没有办法隐藏这些特征?
楼上的方法只能防止一般的检查方法。Rails 做的网站,页面头里都有
<meta name="csrf-param" content="authenticity_token" />
你为了防止被探测到,难道要把 csrf 去掉?
 qichunren
qichunren
          
      
    我玩 php 的时候,里面就塞 csrf,header 里还写 x-power-by asp.net 😄
@Rei @zouyu @luikore @lidashuang @huobazi
wappalyzer 是使用这个配置来识别 rails 的: https://github.com/AliasIO/Wappalyzer/blob/0d7c20e95c4cbe40b490a440483af201942e6eed/src/apps.json#L6038-L6053
header 里的 Server 可以用 nginx 改,但这个csrf-param就不知道怎么改了,下面的application静态文件也好改,相信这三个都改完后,应该就识别不了了。
 jonnoj
jonnoj
          
      
    重写 csrf_meta_tags 方法可以改 csrf-param
def csrf_meta_tags
  if protect_against_forgery?
    [
      tag("meta", name: "csrf-param", content: request_forgery_protection_token),
      tag("meta", name: "csrf-token", content: form_authenticity_token)
    ].join("\n").html_safe
  end
end
