HTTP Server Header

Der HTTP-Header Server ist ein Response-Header, der Informationen über die Software des ursprünglichen Servers enthält. Er identifiziert Implementierung, Version und Module der Server-Software, wird aber aus Sicherheitsgründen häufig minimiert oder unterdrückt.

Typ

Response-Header

Syntax

Der Header listet Server-Software-Komponenten mit optionalen Versionsnummern.

http 
Server: Apache/2.4.52 (Ubuntu)
Server: nginx/1.21.6

Direktiven

Die Direktiven definieren Software-Komponenten und deren Versionsangaben.

product
Name der Server-Software, typischerweise mit Versionsnummer in der Form name/version.
comment
Optionale zusätzliche Information in Klammern, wie Betriebssystem oder Modul-Details.

Beispiele

Nachfolgend finden Sie praktische Anwendungsbeispiele für den Server-Header.

Beispiel 1 Apache mit Betriebssystem

http 
HTTP/1.1 200 OK
Server: Apache/2.4.52 (Ubuntu)
Content-Type: text/html

<!DOCTYPE html>...

Apache-Webserver gibt detaillierte Versions- und OS-Information zurück, was Angreifern Fingerprinting ermöglicht.

Beispiel 2 Nginx minimale Angabe

http 
HTTP/1.1 200 OK
Server: nginx
Content-Type: application/json

{"status": "ok"}

Nginx-Server ohne Versionsnummer verhindert Identifikation bekannter Schwachstellen durch Angreifer.

Beispiel 3 Mehrere Komponenten

http 
HTTP/1.1 200 OK
Server: Apache/2.4.52 (Unix) OpenSSL/1.1.1 PHP/8.1.2
Content-Type: text/html

<!DOCTYPE html>...

Server gibt detaillierte Informationen zu allen eingebundenen Modulen zurück, maximale Transparenz mit erhöhtem Sicherheitsrisiko.

Vorteile für die Systemarchitektur

  • Debugging-Unterstützung: Entwickler können Server-Konfigurationen in verschiedenen Umgebungen identifizieren
  • Monitoring: Load-Balancer können Server-Typen für Routing-Entscheidungen auswerten
  • Minimierung empfohlen: Unterdrückung von Versionsnummern reduziert Angriffsfläche für gezielte Exploits

Spezifikation

RFC 9110, Section 10.2.4 – HTTP Semantics https://www.rfc-editor.org/rfc/rfc9110.html#name-server

Weitere Spezifikationen

User-Agent Header, X-Powered-By Header