はじめに
初めまして!
現在、node.jsとexpressを使ったWEBアプリ開発の学習を始めた初学者です。
これから、学習の中で学んだことを、記事にしていこうかな〜と思っています!
結論
app.jsに、
app.disable("x-powered-by");
を追加する。
詳細
詳しく見ていきます。以下、ソースコードです。
app.js
const express = require('express');
const app = express();
app.set("view engine", "ejs");
app.disable("x-powered-by"); //これ!!!
app.get('/', (req, res) => {
res.render('hello.ejs');
});
app.listen(3000);
hello.ejs
<h1>Hello World</h1>
この1文を入れることで、ブラウザの検証ツールからサーバーサイドが何でできているかを隠すことができるようになります。
なぜ隠す必要があるのか
悪意のあるユーザーが、該当ウェブアプリのサーバーサイド情報(例えばexpress)を手に入れてしまうと、その脆弱性をついて、攻撃を仕掛けることができてしまいます。
そのため、サーバーサイドが何でできているのかを隠して、ピンポイントで脆弱性をつけないようにする必要があります。