问题[http-headers](server)

我正在查看位于以下位置的旧 Web 表单：http ://www.teleservices.lyon.fr/etat-civil/naissance/

当然，它已经过时、伪造、没有 TLS 等。

但我不认识发布它的网络服务器。然而，我遇到了相当多的腐烂和深奥的软件！?。Google 不会立即找到任何相关内容。

→ 你能识别这个网络服务器VDL/1.0吗？

$ curl --head --insecure http://www.teleservices.lyon.fr/etat-civil/naissance/
HTTP/1.1 200 OK
Date: Mon, 07 Nov 2022 14:28:22 GMT
Server: VDL/1.0
Content-Length: 23727
Expires: Tue, 08 Nov 2022 00:54:02 GMT
Content-Type: text/html; charset=ISO-8859-1
Cache-Control: public, must-revalidate
Vary: Accept-Encoding
Connection: close

nmap扫描：

# nmap -A -T4 www.teleservices.lyon.fr
Starting Nmap 7.92 ( https://nmap.org ) at 2022-11-07 17:22 CET
Nmap scan report for www.teleservices.lyon.fr (185.235.8.66)
Host is up (0.013s latency).
Not shown: 997 filtered tcp ports (no-response)
PORT    STATE SERVICE    VERSION
53/tcp  open  domain     Cloudflare public DNS
80/tcp  open  http       Citrix NetScaler httpd
|_http-server-header: Apache/2.2.15 (Red Hat)
443/tcp open  ssl/https?
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.10 - 4.11, Linux 3.2 - 4.9
Network Distance: 13 hops
Service Info: Device: load balancer

TRACEROUTE (using port 80/tcp)
HOP RTT      ADDRESS
1   0.34 ms  routeur.localdomain (192.168.1.1)
2   1.08 ms  78.193.87.254
3   1.32 ms  78.255.60.126
4   1.59 ms  sal69-49m-1-v904.intf.nro.proxad.net (78.254.248.41)
5   1.60 ms  gui69-49m-1-v908.intf.nro.proxad.net (78.254.248.134)
6   3.40 ms  lyon-crs8-1-be1503.intf.nro.proxad.net (78.254.248.142)
7   ...
8   16.76 ms marseille-9k-1-be2001.intf.routers.proxad.net (194.149.162.154)
9   ...
10  20.82 ms be5.cr02.mar02.jaguar-network.net (78.153.231.90)
11  21.63 ms he0-0-0-21.cr03.lyo01.jaguar-network.net (78.153.231.89)
12  21.71 ms 185.235.8.250
13  21.58 ms 185.235.8.66

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 27.85 seconds

我正在使用 .htaccess 为网页设置一些标题，fe：

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</IfModule>

这适用于通常的页面访问，但标题不用于错误页面，如 404 Not Found 和 403 Forbidden。

有没有办法使用 .htaccess 设置错误页面的标题？

我有一个由自定义软件和 HTTP 服务器组成的系统。该软件将发送一些带有一些标头的请求，HTTP 服务器将发送回响应。

现在我有一些服务器将发送到软件的自定义身份验证相关标头，软件将保留这些标头并在每个额外的请求中将它们发送回以绕过身份验证过程。

根据我的理解，这应该使用 cookie 来完成。然而，在定制软件开发中，添加普通标头很容易，而添加 cookie 则更难实现，并且基于测试，使用普通标头在功能上也能正常工作。

我想知道的是，是否有任何安全原因和/或其他原因应该使用 cookie 而不是普通的 HTTP 自定义标头？

我的服务器上有一个包含图像的文件夹，该文件夹用于通过 CDN 为移动应用程序提供服务，并与用于管理传递到应用程序的内容的后端 web 应用程序一起使用。对于后者 - 后端 Web 应用程序 - 我想确保从相关文件夹传递的图像不会被浏览器缓存，因此我可以在其作者更新后立即在后端应用程序中显示更新版本。CDN 提取相同的图像以传送到移动应用程序，并在 30 分钟内设置刷新，因此它不会传送过时的内容图像。

我的问题 - 我如何配置 Nginx 以便expires epoch它只为来自 webapp 的请求注入标头。这个问题的部分答案在这个 SO 线程中。有没有办法修改那里提出的解决方案，以便在注入标头之前检查引用者？因此，例如，所有来自https://example.com/backoffice的请求都会使用标头响应，expires epoch而其他请求（例如来自 CDN 拉取请求的请求）则不会。

我有一个 Openresty 网络服务器，它也使用ledge作为缓存服务器。ledge 正在设置一个“Via”响应标头，该标头公开服务器的主机名，即 fqdn。

Via: 1.1 xyz.example.com

我的 openresty 和 ledge 配置中有这些：

more_clear_headers 'Server';
server_tokens off;

我想完全删除“Via”响应标头。但无法弄清楚如何在壁架上做到这一点:(

为了记录 Javascript 错误，我设置了一个带有 window.onerror 的函数，它触发了一个 ajax 请求并通知我脚本错误。我从子域加载所有静态文件，如果主域之外的文件发生错误，CORS 似乎会因为泄漏而删除信息... https://developer.mozilla.org/en-US/docs/ Web/API/GlobalEventHandlers/onerror#notes

我试图通过像这样设置 Access-Control-Allow-Origin 来解决这个问题：

add_header Access-Control-Allow-Origin https://static.example.com;

但没有成功。

我的子域也带有主域的 Access-Control-Allow-Origin。

文件标题：

Request URL: https://www.example.com/de/kontaktformular.html
Request Method: GET
Status Code: 200 
Remote Address: XXX
Referrer Policy: strict-origin-when-cross-origin
access-control-allow-origin: https://static.example.com
cache-control: no-store, no-cache, must-revalidate
content-encoding: br
content-security-policy: ...
content-type: text/html; charset=UTF-8
date: Tue, 10 Aug 2021 10:21:35 GMT
expect-ct: enforce,max-age=30
expires: Thu, 19 Nov 1981 08:52:00 GMT
pragma: no-cache
referrer-policy: same-origin
server: nginx
strict-transport-security: max-age=15768000; includeSubDomains
vary: Accept-Encoding
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-xss-protection: 1; mode=block
:authority: www.example.com
:method: GET
:path: /de/kontaktformular.html
:scheme: https
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
accept-encoding: gzip, deflate, br
accept-language: de-IT,de;q=0.9,en-US;q=0.8,en;q=0.7,de-DE;q=0.6
cache-control: no-cache
cookie: __Host-PHPSESSID=k2284o6ejliq4t9113bicbv5tr; cookie_alert=1; cart=MjMtLC03OC0sLTF8fDU1LSwtMTI3LSwtMXx8NTUtLC0xMjgtLC0x
pragma: no-cache
referer: https://www.example.com/de/XXX.html
sec-ch-ua: "Chromium";v="92", " Not A;Brand";v="99", "Google Chrome";v="92"
sec-ch-ua-mobile: ?0
sec-fetch-dest: document
sec-fetch-mode: navigate
sec-fetch-site: same-origin
sec-fetch-user: ?1
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36

来自子域的 Js 文件的标头：

Request URL: https://static.example.com/jquery_scripts.128.js
Request Method: GET
Status Code: 200 
Remote Address: XXX
Referrer Policy: same-origin
access-control-allow-origin: https://www.example.com
cache-control: public, max-age=31536000, s-maxage=31536000
content-encoding: gzip
content-type: text/javascript;charset=UTF-8
date: Tue, 10 Aug 2021 10:21:35 GMT
expires: Wed, 10 Aug 2022 10:21:35 GMT
last-modified: Tue, 10 Aug 2021 09:38:16 GMT
server: nginx
strict-transport-security: max-age=15768000; includeSubDomains
vary: Accept-Encoding
x-content-type-options: nosniff
:authority: static.example.com
:method: GET
:path: /jquery_scripts.128.js
:scheme: https
accept: */*
accept-encoding: gzip, deflate, br
accept-language: de-IT,de;q=0.9,en-US;q=0.8,en;q=0.7,de-DE;q=0.6
cache-control: no-cache
pragma: no-cache
sec-ch-ua: "Chromium";v="92", " Not A;Brand";v="99", "Google Chrome";v="92"
sec-ch-ua-mobile: ?0
sec-fetch-dest: script
sec-fetch-mode: no-cors
sec-fetch-site: same-site
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36

我知道Vary: Cookie它不太受欢迎，因为它会导致缓存用户可能报告的每个 cookie 变体。另一方面，如果没有它，我不得不Cache-Control: no-cache告诉我的 NGINX 缓存服务器完全跳过可能有用户登录的缓存内容（顺便说一下，我网站的每个页面，因为顶部有一个帐户框这页纸）。

我只在用户登录时发送 cookie，因此大多数页面视图都会从缓存中受益。我想缩小范围，以便只有两种变体：“差异”是没有cookie 的用户的缓存版本和有 cookie 的用户的非缓存版本（例如，用户已登录并拥有身份验证 cookie）。

如果我在我的 Perl 程序中添加“Vary: Cookie”，有没有办法告诉 NGINX 在这种情况下它应该只关注sessionIdcookie 是否存在？类似于 - 制作伪标题 - 的东西Vary: Cookie('sessionId')？如果有一种方法可以在 NGINX 会尊重的脚本生成的标头中实现这一点，我想我更喜欢将它放在 NGINX 配置中，但任何解决方案都会受到赞赏。

我不完全确定如何测试我是否会导致 NGINX 因缓存而疯狂，但我想知道这些方面是否可行：在未登录的查看器上，脚本发送Vary: Cookie，但在查看器上登录后，它会发送该标头和Cache-Control: no-cache. NGINX 会理解这是告诉它缓存第一个响应而不是变体吗？或者我会以我现在没有抓住的方式搞砸一些事情吗？

更新：这是我的一个服务器块的示例：

server {
    server_name myservername.tld
    listen 80;

    location / {
        proxy_cache $PROXY_CACHE;

        proxy_cache_valid 200 302 60m;
        proxy_cache_valid 404 1m;
        proxy_cache_use_stale error timeout http_429 http_500 http_502 http_503 http_504;
        proxy_cache_background_update on;
        proxy_cache_revalidate on;
        proxy_cache_min_uses 1;
        proxy_cache_lock on;

        proxy_pass $scheme://$APACHE_PROXY_REQ_IP:$APACHE_PROXY_REQ_PORT;
    }

}

假设我有一个正在运行的 nginx 实例，其中包含多个服务器块（在 linux 服务器上），并且我想Permissions-Policy: interest-cohort=()在所有响应中发送一个额外的 HTTP 标头，因为我同意Google 的 FLOC 是一个坏主意。

我知道这可以/etc/nginx/sites-available/*通过添加类似的东西在每个服务器块的基础上完成（通过一个一个地编辑我的每个文件）

server {
    location / {
        add_header Permissions-Policy interest-cohort=();
        # ...other stuff
    }
    # ...other stuff
}

是否可以一次为所有服务器块的所有位置配置这个额外的 HTTP 标头？如果是这样，怎么做？

因此，我看到 Apache 默认显示 Upgrade 标头，如下所示：

Upgrade: h2,h2c

下面的标题是否也有效？：

Upgrade: h2, h2c

升级标头中的逗号之间是否允许有空格？

信息：

我谈论的是响应 Upgrade: apache 通常发送的标头。

我对 Firefox 显示加载资源的方式感到困惑，cached但随后我可以看到浏览器为域名发出新的 DNS 查询并再次联系 HTTP 服务器。

下面是此行为的一个简单示例。我访问了https://example.com然后重新加载网页。正如预期的那样，加载的资源显示为cached。但是，与此同时，我在后台运行 tcpdump 并注意到浏览器example.com再次发出 DNS 查询，并在获得 DNS 响应后连接到 HTTP 服务器。

这是预期的行为还是我错过了什么？感谢您阅读我的问题<3