Nginx 反向代理如何配置隐藏后端服务器真实版本号？

在 Nginx 反向代理架构中，隐藏版本信息分为两部分：一是隐藏 Nginx 自身的版本号，二是隐藏上游后端服务器（如 Tomcat、PHP-FPM）返回的版本标识。这属于基础安全加固，能增加攻击者收集情报的成本，但无法从根本上防止漏洞利用。

核心结论：通过组合配置 server_tokens off 和 proxy_hide_header 指令，可移除响应头中的版本信息。

区分范围：server_tokens 控制 Nginx 自身版本显示，proxy_hide_header 控制后端透传头。
配置位置：server_tokens 建议放在 http 块全局生效，proxy_hide_header 必须放在包含 proxy_pass 的 location 或 server 块中。
验证方法：使用 curl -I 检查响应头是否残留版本字段。

完整配置示例

以下是一个标准的 server 块配置示例，展示了如何在反向代理场景下完整隐藏版本信息。请根据实际域名和上游地址修改。

server {
    listen 80;
    server_name example.com;

    # 隐藏 Nginx 自身版本号（也可放在 http 块全局配置）
    server_tokens off;

    location / {
        proxy_pass http://backend_server;
        
        # 隐藏后端服务器的 Server 头
        proxy_hide_header Server;
        
        # 隐藏常见后端框架版本头
        proxy_hide_header X-Powered-By;
        proxy_hide_header X-AspNet-Version;
        proxy_hide_header X-AspNetMvc-Version;
        
        # 其他常规代理设置
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

配置原理与细节

1. server_tokens off： 默认情况下，Nginx 会在错误页面和响应头中显示版本（如 nginx/1.18.0）。该指令仅影响 Nginx 自身产生的信息，不影响上游服务器返回的头。

2. proxy_hide_header： 反向代理时，Nginx 默认会透传上游服务器的响应头。若后端是 Tomcat、IIS 或 PHP，可能会返回包含版本号的 Server 或 X-Powered-By 头。该指令需在 proxy_pass 生效的作用域内配置才能生效。

验证方法

配置重载后，使用 curl 命令检查响应头：

curl -I https://example.com

检查返回内容：

若 Server 字段显示为 nginx 且无版本号，说明 server_tokens off 生效。
若 Server 字段完全消失，说明 proxy_hide_header Server 生效。
检查是否还有 X-Powered-By 或 X-AspNet-Version 等字段，若有则需补充隐藏配置。

潜在风险与排查

1. CDN 或客户端兼容性： 部分 CDN 服务商或客户端脚本依赖 Server 头进行策略判断。完全隐藏可能导致缓存规则失效或功能异常，建议先在测试环境验证。

2. 错误页面泄露： 即使配置了隐藏，Nginx 默认的错误页面（如 502 Bad Gateway）仍可能显示版本。确保 server_tokens off 已全局生效，或自定义错误页面。

3. 应用层泄露： 某些应用程序会在 HTML body 内容或自定义 Header 中写入版本信息，仅配置 Nginx 无法清除，需配合应用层配置（如 PHP 的 expose_php = Off）。

4. 链路完整性： 如果架构中存在多层代理（如 CDN -> Nginx -> Nginx -> App），需确保每一层反向代理节点都进行了相应配置，否则中间节点可能泄露信息。