有没有一种方法来configurationApache丢弃任何请求导致HTTP状态不是200(或可能是一个状态码列表)的连接? 这个想法是,而不是返回任何信息给黑客探查服务器,只是当一个无效的请求时,终止连接。 我正在考虑类似iptables DROP规则,但在应用程序层。
我意识到这不会替代其他安全措施(防火墙,反向代理,mod_security,访问控制,非默认错误页面等),但这将是一个额外的措施。
你可以让403返回一个404页面和状态代码(确保它们都是!),这会让人们无法窥探。 我相信Google等很多大型网站都是这样做的。 但是,在这样的错误之后删除连接是没有用的(甚至可能是有害的)。