我试图从 Chrome/Firefox 的 Wappalyzer 插件中隐藏框架名称 Yii。我需要隐藏框架名称作为安全审核的一部分。
我已经在 Apache 配置中关闭了服务器签名,但框架名称 Yii 仍然显示
您可以了解 Wappalyzer 如何检测 Yiihere
HTML代码
您需要确保您的 html 不包含中提到的代码html
part.
- The
Powered by...
文本是由生成的Yii::powered()
因此请确保您没有在布局文件中调用它。
- 您将更改 CSRF 令牌输入的名称,因此第二行不是问题
- 当您调用时,这些块将被替换
endPage()
的方法yii\web\View
所以请确保你有$this->endPage();
在布局的末尾调用。
Cookies
为了避免这种检测,您需要更改 CSRF 令牌名称。您可以在这里找到如何更改它:如何将 csrf 字段 id 从 YII_CSRF_TOKEN 更改为任何其他
JS files
这可能是最烦人的检测。 Wappalyzer 中的检测模式假设资产文件夹是 8 个字符长的字符串。幸运的是有hashCallback
财产在yii\web\AssetManager
查看文档。您可以使用它来更改资产文件夹名称的生成方式。
这将帮助您避免 Wappalyzer 检测,但查看加载的脚本的人仍然能够看到 yii.js、yii.validation.js 和 yii.activeForm.js 脚本已加载。您可以将它们复制到某些文件夹中,重命名它们,然后自定义资产包更改加载的脚本。
您将需要自定义以下资产:
-
yii\web\YiiAsset
for yii.js
script.
-
yii\validators\ValidationAsset
for yii.validation.js
script.
-
yii\widgets\ActiveFormAsset
for yii.activeForm.js
script.
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)