【脆弱性対策】Etagヘッダーの計算処理にinodeを含まないように設定変更する
そもそも、Etagって何だろう?
WEBページを訪れた際のキャッシュが、次に訪れた時古くなっているか?みたいな判定に使うらしいですね。
で、その値を生成するにあたって、1系のApacheはデフォルトでinodeという値を使うらしい…
それがセキュリティリスクという事らしいです。
.htaccessによる解決法
今回対応したサーバー(共用レンタルサーバー)では、単純に「レスポンスにEtagヘッダーは使わない」という方法しかうまくいきませんでした。
下記を.htaccessへ記載で、レスポンスヘッダからEtagの項目がなくなりました。
FileETag None
ちなみに…別の方法
FileETag MTime Size
inodeを含めたくない※上記はEtagは、更新日とファイルのサイズでーみたいな意味と思う
今回のサーバーでは、この方法はうまくいきませんでした。