我在我的应用程序中使用 AWS ALB,当我们进行 AppSec 测试时,它显示标头响应的值“server: awselb/2.0”是一个安全威胁。这意味着,如果在 AWS ALB 上检测到漏洞或零日漏洞,则可以使用服务器中的这些详细信息,这就是威胁。
有没有办法隐藏此服务器响应?如果这是 ALB 上的一个选项,或者如果我们需要为此使用 WAF 规则,那么一切都有效。非常感谢任何帮助。
根据https://repost.aws/questions/QU41Jdv5awSnq9rda-zbNhrQ/how-can-i-remove-aswelb-2-0-in-the-http-response-header中10个月前的答案,有ELB 上没有用于删除该标头的配置选项。
一个可能的解决方法是在 ELB 前面放置 CDN 以过滤响应标头。
现在,AWS ALB 引入了隐藏服务器标头的支持。