我有一个面向 Internet 的服务,它通过 https 提供 API - json、xml 等 - 类似于https://api.example.org/api/foo。API 通常是从公司内部服务构建的,但即使我们向基于外部 Internet 的服务发出请求,我也希望它们向客户显示为我的服务。
从用户代理的角度来看,https://api.example.org是源服务器。
我们购买了一个花哨的供应商 API 网关产品来保护 API。到现在为止还挺好。
目前,网关将 Via 标头附加到包含处理请求的服务器的内部主机名的请求中,这不太好。
> GET /api/foo/bar HTTP/1.1
> User-Agent: curl/7.37.1
> Host: api.example.org
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Type: application/json
< Date: Thu, 15 Mar 2015 22:11:46 GMT
< Max-Forwards: 20
* Server Apache-Coyote/1.1 is not blacklisted
< Server: Apache-Coyote/1.1
< Via: 1.0 myinternalhostname.local (Apache-Coyote/1.1)
< transfer-encoding: chunked
< Connection: keep-alive
无论他们是否可以使用它,我都不希望机器人和坏人知道我的主机名。
我可以删除 …