Posso remover com segurança o cabeçalho Via http?

2

Eu tenho um serviço de Internet que fornece APIs sobre https - json, xml e afins - algo como link . As APIs são geralmente construídas a partir de serviços internos corporativos, mas mesmo que façamos solicitações para serviços externos baseados na Internet, quero que elas apareçam para os clientes como meus serviços.

De uma perspectiva do User-Agent, o link é o servidor do Origin.

Compramos um produto de gateway de API de fornecedor sofisticado para proteger as APIs. Até aí tudo bem.

Atualmente, o gateway está anexando um cabeçalho Via às solicitações que contêm o nome do host interno do servidor que processa a solicitação, o que não é tão bom.

 > GET /api/foo/bar HTTP/1.1
 > User-Agent: curl/7.37.1
 > Host: api.example.org
 > Accept: */*
 > 
 < HTTP/1.1 200 OK
 < Content-Type: application/json
 < Date: Thu, 15 Mar 2015 22:11:46 GMT
 < Max-Forwards: 20
 * Server Apache-Coyote/1.1 is not blacklisted
 < Server: Apache-Coyote/1.1
 < Via: 1.0 myinternalhostname.local (Apache-Coyote/1.1)
 < transfer-encoding: chunked
 < Connection: keep-alive

Se eles podem usá-lo ou não, eu não quero que os bots e os bandidos conheçam meus nomes de host.

Posso remover o cabeçalho Via ou devo higienizá-lo ao nome público, por exemplo

< Via: 1.0 api.example.org (Apache-Coyote/1.1) 

Eu sei porque o cabeçalho Via existe e eu não acho que o meu servidor api precisa atender a RFC desde que ele atua como um servidor Origin. (embora na realidade seja um gateway / proxy reverso, o cliente não precisa saber disso).

TL; DR

É seguro remover o cabeçalho Via de um servidor Origin?

    
por stringy05 26.03.2015 / 23:19

1 resposta

4

O cabeçalho da Via foi desenvolvido para transmitir a culpa a outra pessoa.

É perfeitamente aceitável removê-lo, ou não gerá-lo, se ele não servir a esse propósito.

    
por 27.03.2015 / 00:07