有沒有辦法將 Apache 配置為斷開任何導致 HTTP 狀態不是 200(或可能是狀態代碼清單)的請求的連線?這個想法是,當發出無效請求時,只需終止連接,而不是向探測伺服器的駭客傳回任何資訊。我正在考慮類似於 iptables DROP 規則的東西,但在應用程式層。
我意識到這不能取代其他安全措施(防火牆、反向代理、mod_security、存取控制、非預設錯誤頁面等),但它是一種額外的措施。
答案1
您可以讓 403 返回 404 頁面和狀態代碼(確保兩者都是!),這會阻止人們窺探。我相信谷歌和許多其他大型網站都會這樣做。但是,在發生此類錯誤後斷開連接沒有任何幫助(甚至可能有害)。