[10]
X-Powered-By:
は、
いくつかの
Webアプリケーションフレームワークが、
自身の名称やバージョン番号を記述するために使っている
HTTPヘッダーです。
[12]
本
HTTPヘッダーは、
HTTP に関する標準仕様で定められたものではありませんが、
いくつかのソフトウェアが採用しています。
デバッグの便宜のため、
あるいは宣伝のために使われているとみられます。
意味
[11]
Server: ヘッダーと似ていますが、
Webサーバーが狭義の
HTTPサーバーとアプリケーションサーバーに分かれる場合に、
前者の情報を Server:
に設定し、
後者の情報を別に記述するために本ヘッダーが使われているとみられます。
構文
[13]
特に構文の定めはなく、任意の
(印字可能印字可能文字)
ASCII文字列が使われているようです。
文脈
- [1] PHP が出力した HTTP応答に付加される応答頭欄。
- [2] 例: X-Powered-By: PHP/version
- [3] 新し目の ASP.NET もつける。例: X-Powered-By: ASP.NET
- [4] X-Powered-By: Slash 2.002006
[5] HTTP/1.1 X-Powered-By header ( 版) http://www.http-stats.com/X-Powered-By
[6] >>5 PHP が多いですが、他の Webアプリケーション・フレームワークの類でもつけているものがいろいろあるのですね。
[9] Remove Unwanted HTTP Response Headers – varunm
()
https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/X-Powered-By - Indicates that the website is "powered by ASP.NET."
[18]
このヘッダーは特に定められたものでなく、
誰も生成することを強制されていませんし、
逆に禁止もされていません。
[20]
開発者の設定により内容を変更したり、生成しないことにしたりする手段が提供されていることが多いようです。
処理
[14]
クライアントによる処理の方法は、特に知られたものはありません。
[15]
統計目的や、開発の補助として使われているかもしれません。
セキュリティー
[16]
Server:
同様、
むやみにソフトウェアの名前やバージョンを晒すことはセキュリティー上好ましくないとして、
一部または全部を隠したがる人もいます。
[17]
一方でそうした対処は攻撃回避に何ら有効な対策ではなく、
逆に開発者側のバージョン確認が難しくなり、
セキュリティー問題のあるバージョンの検知を妨げてしまうおそれもあるという考え方もあります。
[19]
セキュリティーと関係なく、
PHP
なんて使っているのは恥ずかしいから見せたくない、
と思う人はいるかもしれません。
関連
[7] 似た意味の頭欄には X-Framework: があります。
[8] 同じく応答頭欄の Server: と似ていますが、
Server: は HTTP 層、 X-Powered-By:
は Webアプリケーション・フレームワーク層という緩い区別があります。