Le response del backend trasmettono in chiaro informazioni sensibili che invece dovrebbero venire mascherate.
Leggendo infatti i response headers di un qualsiasi endpoint (anche quelli non protetti da JWT) è possibile ottenere informazioni riguardanti le tecnologie utilizzate dal backend.
Nel seguente esempio viene infatti indicato l'utilizzo di NGINX come proxy server (v1.14.0) su una macchina avente come os Ubuntu.
Consiglio quantomeno di impostare/attivare il flag server_tokens off; lato NGINX agendo sul file nginx.conf (solitamente esposto al path /etc/nginx/nginx.conf)
Le response del backend trasmettono in chiaro informazioni sensibili che invece dovrebbero venire mascherate.
Leggendo infatti i response headers di un qualsiasi endpoint (anche quelli non protetti da JWT) è possibile ottenere informazioni riguardanti le tecnologie utilizzate dal backend.
Nel seguente esempio viene infatti indicato l'utilizzo di NGINX come proxy server (v1.14.0) su una macchina avente come os Ubuntu.
Consiglio quantomeno di impostare/attivare il flag
server_tokens off;lato NGINX agendo sul filenginx.conf(solitamente esposto al path/etc/nginx/nginx.conf)