元々Javaばっかりやっていたのですが、ここ1年ぐらいPHPを触る機会が多くなりました。
小ネタですが、CodeIgniterのメールで「おや?」と思ったので、記事にしておきます。
環境
| 項目 | 設定値 | 備考 |
|---|---|---|
| OS | CentOS7.2 | |
| HTTPサーバ | Apache/2.4.6 | |
| 言語 | PHP7.1.1 | |
| フレームワーク | CodeIgniter3.1.3 | |
| メール(MTA) | Postfix |
事象
- CodeIgniterのEmailクラスを用いてメール送信する機能を作成
- 実際に送信したメールを見ると、ヘッダーにこんな情報が・・・
User-Agent: CodeIgniter
X-Mailer: CodeIgniter
- セキュリティ的に、フレームワーク情報などは隠蔽したい
結論
- CodeIgniterのEmailクラスに
useragentという設定項目がある - これを
$config['useragent'] = '';みたいにすればOK
所感
実害は無いかもしれませんが、ヘッダーにフレームワーク情報などが載ってしまうと、セキュリティリスクが高まってしまいます。
(例えば、CodeIgniterの脆弱性が見つかって、そこから攻撃される、など)
開発時には見えた方が良いときもあるかもしれませんけど、出来るだけ不必要な情報は出さない方が宜しい感じかと思いました。
以上、小ネタでした!!