X-Powered-By

X-Powered-By: ヘッダー (HTTP)

[10] X-Powered-By: は、 いくつかの Webアプリケーションフレームワークが、 自身の名称やバージョン番号を記述するために使っている HTTPヘッダーです。

[12]HTTPヘッダーは、 HTTP に関する標準仕様で定められたものではありませんが、 いくつかのソフトウェアが採用しています。 デバッグの便宜のため、 あるいは宣伝のために使われているとみられます。

意味

[11] Server: ヘッダーと似ていますが、 Webサーバーが狭義の HTTPサーバーアプリケーションサーバーに分かれる場合に、 前者の情報を Server: に設定し、 後者の情報を別に記述するために本ヘッダーが使われているとみられます。

構文

[13] 特に構文の定めはなく、任意の (印字可能) ASCII文字列が使われているようです。

文脈

[5] HTTP/1.1 X-Powered-By header ( 版) http://www.http-stats.com/X-Powered-By

[6] >>5 PHP が多いですが、他の Webアプリケーション・フレームワークの類でもつけているものがいろいろあるのですね。

[9] Remove Unwanted HTTP Response Headers – varunm () https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/

X-Powered-By - Indicates that the website is "powered by ASP.NET."

[18] このヘッダーは特に定められたものでなく、 誰も生成することを強制されていませんし、 逆に禁止もされていません。

[20] 開発者の設定により内容を変更したり、生成しないことにしたりする手段が提供されていることが多いようです。

処理

[14] クライアントによる処理の方法は、特に知られたものはありません。

[15] 統計目的や、開発の補助として使われているかもしれません。

セキュリティー

[16] Server: 同様、 むやみにソフトウェアの名前やバージョンを晒すことはセキュリティー上好ましくないとして、 一部または全部を隠したがる人もいます。

[17] 一方でそうした対処は攻撃回避に何ら有効な対策ではなく、 逆に開発者側のバージョン確認が難しくなり、 セキュリティー問題のあるバージョンの検知を妨げてしまうおそれもあるという考え方もあります。

[19] セキュリティーと関係なく、 PHP なんて使っているのは恥ずかしいから見せたくない、 と思う人はいるかもしれません。

関連

[7] 似た意味の頭欄には X-Framework: があります。

[8] 同じく応答頭欄Server: と似ていますが、 Server:HTTP 層、 X-Powered-By:Webアプリケーション・フレームワーク層という緩い区別があります。

メモ