In dem letzten Artikel habe ich beschrieben, wie ihr unter ASP.NET MVC Anwendungen die verräterischen HTTP Header ausblenden könnt, nun können wir auch mal auf den GlassFish schauen.

Default-Header

Wie ihr in dem oberen Bild erkennen könnt sendet der GlassFish hier seinen Namen, die Version und auch das verwendete Framework mit. Das wollen wir natürlich nicht haben.

Fangen wir mit dem Server-Header an. Dieser ist recht einfach zu entfernen durch das Setzen eines VM-Parameters in der GlassFish Adminoberfläche.

1. Startet die Admin console
2. Wählt Configuration ->JVM Settings
3. Wählt oben JVM Options
4. Klickst auf Add JVM Option
5. In der neue textfeld tragt ihr ein:  -Dproduct.name=““
6. Klickt auf Save und startet den GlassFish neu

Nun ist der Server-Header nciht ausgefüllt

Auch wenn das nun etwas komisch aussieht, haben wir so den Server-Header entfernt. Dabei verhält sich der GlassFish unter verschiedenen Umständen anders. Manchmal zeigt er den Header so an wie in dem Bild, manchmal lässt er ihn auch komplett weg. (Wenn ihr hier mehr wisst hinterlasst bitte ein Kommentar).
X-Powered-By header

1. Startet die Admin console
2. Geht zu Configuration -> Network Config -> Network Listeners
3. Wählt http-listener-2 aus und wählt dann oben „HTTP“
4. Deaktiviert den Hacken bei „XPowered By“ (Siehe Bild)
5. Speichert und startet den GlassFish neu

Der Hacken zum deaktivieren des Headers

Leider ist die Sache damit noch nicht gegessen, da dies scheinbar nur den „X-Powered-By: Servlet/3.0“ Header entfernt den „X-Powered-By: JSP/2.1“ muss man nochmal wo anders entfernen.

1. Navigiert zu domains/domain1/config
2. öffnet die Datei default-web.xml
3. sucht nach xpoweredBy und setzt diesen Setting auf „false“ (siehe Bild)
4. Speichert und startet den GlassFish neu

Konfiguration in der default-web.xml

Nun sieht die Sache wieder bessern aus:

nun ist alles fast OK

Wenn ihr noch einen Tipp habt wie man den Server-Header ganz weg bekommt wäre ich für einen Kommentar dankbar!