Пользователь
30,2
рейтинг
19 августа 2012 в 23:25

Разработка → Необычные заголовки HTTP

IIS*
HTTP-ответ сервера содержит не только машиночитаемый текст, но иногда и скрытые послания для людей. Например, WordPress.com вставляет в заголовок поле X-hacker с текстом: «Если вы читаете это, то вам следует пойти на automattic.com/jobs и заполнить анкету». Объявления с приёмом на работу внедряют и другие серверы, например, Gigaom.com. Поскольку он размещается на WordPress, налицо конкуренция работодателей внутри служебных полей.

Server: nginx
Date: Wed, 15 Aug 2012 14:04:39 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding, Cookie
Last-Modified: Wed, 15 Aug 2012 14:03:40 GMT
Cache-Control: max-age=241, must-revalidate
X-hacker: If you’re reading this, you should visit automattic.com/jobs and apply to join the fun, mention this header.
P3P: CP=”GigaOM has a Privacy Policy available at gigaom.com/privacy-policy
X-PickUsInstead: Cool company, cooler headers, join the team! Send an email to jobs@gigaom.com and mention this header.
X-Pingback: gigaom.com/xmlrpc.php
X-nananana: Batcache
Content-Encoding: gzip

Вот забавная подборка нестандартных HTTP-заголовков на разных серверах.

Нечто странное выдают серверы Myspace.com, там есть поле X-PoweredBy, которое принимает разные значения:

Cache-Control: no-cache, must-revalidate, proxy-revalidate
Pragma: no-cache
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Expires: -1
Vary: Accept-Encoding
Server: Microsoft-IIS/7.5
X-Server: d8de1522726f0073ffa08b0fd1ddb74a61a15ee8d5a534aa
X-Frame-Options: SAMEORIGIN
X-AspNet-Version: 4.0.30319
X-PoweredBy.: Nerd Rage
Date: Wed, 15 Aug 2012 13:52:47 GMT
Content-Length: 16799

Другие варианты:
  • X-PoweredBy: Unicorns
  • X-PoweredBy: Keebler Elves
  • X-PoweredBy: Charlie Sheen’s Tiger Blood
  • X-PoweredBy: Rats in our Basement

Сервер Reddit пытается хакнуть вас даже в заголовках HTTP.

Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
Set-Cookie:
Content-Encoding: gzip
Server: ‘; DROP TABLE servertypes; –
Content-Length: 18033
Date: Wed, 15 Aug 2012 13:30:32 GMT
Connection: keep-alive

Сервер SME.sk намекает на leet-жаргон.

Content-Type: text/html
Expires: Wed, 15 Aug 2012 14:15:52 GMT
Cache-Control: public
Content-Encoding: gzip
Content-Length: 20583
Accept-Ranges: bytes
Date: Wed, 15 Aug 2012 14:15:22 GMT
Age: 14
Connection: keep-alive
Server: ninja web server 1.3.3.7

А сервер Howtogeek.com трогательно обращается к хакерам c просьбой не ломать его.

Content-Encoding: gzip
Vary: Accept-Encoding
Date: Wed, 15 Aug 2012 14:16:34 GMT
Server: LiteSpeed
Accept-Ranges: bytes
Etag: “f626-502baee7-18fca4″
Last-Modified: Wed, 15 Aug 2012 14:15:03 GMT
Content-Type: text/html
Content-Length: 12660
X-Geek: What’s black and white and red all over? Please don’t kill our penguin-powered server.

Более полный список
Анатолий Ализар @alizar
карма
749,5
рейтинг 30,2
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (23)

  • +18
    Народ.ру

    HTTP/1.1 200 OK
    Date: Sun, 19 Aug 2012 19:41:53 GMT
    Server: ZX_Spectrum/1997 (Sinclair_BASIC)
    Set-Cookie: nuid=2526830581345405313; path=/; expires=Wed, 17-Aug-22 19:41:53 GMT; domain=.narod.ru
    Last-Modified: Mon, 02 Jan 2012 06:54:22 GMT
    ETag: «a0a8c1-7b17-4f01549e»
    Connection: close
    Content-Type: text/html; charset=windows-1251
    • –5
      Особенно про ZX Spectrum порадовало. Я всегда знал ;)
  • +7
    А где же wireshark.org с его X-Slogan? :)

    X-Slogan: It's a great product with a great story to tell. I'm pumped!
    X-Slogan: Sniffing the glue that holds the Internet together.
    X-Slogan: Be good. You never know who's running Wireshark nearby.
    X-Slogan: If it can shock or blind you it's layer 1.
    X-Slogan: Sniff free or die.
    X-Slogan: Go deep.
  • +10
    Reddit лучший!
  • 0
    reddit такой reddit…
  • +1
    • 0
      Не заметил, в посте уже есть ссылка.
      • 0
        Поставил ещё одну в конце текста, раз уж так плохо заметно. :)
  • +7
    Мой сейрвер, в зависимости от vhost-а — выдаёт следующее:
    1. Server: c64/1986 (**** COMMODORE 64 BASIC V2 **** 64K RAM SYSTEM ****)
    2. Server: nocodesrv/0.0.0 (NOP)
    3. Server: thttpd/1.02 (Minix 2.0.2 i186)
    4. Server: pear/6.2 (iOS 5.0.1)
    5. Server: .the-server (LiLO-Server)
    6. Server: moon0engine
    7. Server: The Elf Home (LiLO-Server)
    8. Server: pear/6.2 (iOS 5.0.1)
    9. Server: RomCola (LiLO-Server)
    10. Server: segasrv/1.0 (SEGA MEGA DRIVE HTTP SERVER ROM 1.0)
    11. Server: OSCAR SERVER 1.1
    12. Server: MechanicalServer (ms gamma)
    13. Server: Ramone Portfolio (LiLO-Server)
  • +1
    Старый пример (не с заголовками, но в том же стиле) — зайдите на mail.yandex.ru с открытым Фаербагом:

    «Любишь заглядывать в консоль? А может и js умеешь писать? company.yandex.ru/job/vacancies/interface_dev_mail.xml»
    • 0
       .d8888b.  888                       888    
      d88P  Y88b 888                       888    
      Y88b.      888                       888    Эта функция браузера предназначена для 
       "Y888b.   888888  .d88b.  88888b.   888    разработчиков. Если кто-то сказал вам 
          "Y88b. 888    d88""88b 888 "88b  888    скопировать и вставить что-то здесь, 
            "888 888    888  888 888  888  Y8P    чтобы увеличить вдвое ваш баланс, или 
      Y88b  d88P Y88b.  Y88..88P 888 d88P         взломать чужой кошелек, это мошенники. 
       "Y8888P"   "Y888  "Y88P"  88888P"   888    Выполнив эти действия, вы предоставите 
                                 888              им доступ к своему Qiwi кошельку.
                                 888              
                                 888              
      
      qiwi.js (строка 173)
      
  • +1
    Civil подсказывает что есть и такое:

    $ HEAD pogoda.yandex.ru
    200 OK
    Connection: close
    Date: Sun, 19 Aug 2012 21:33:20 GMT
    Server: nginx/1.2.1
    Content-Type: text/html
    Expires: Sun, 19 Aug 2012 21:33:20 GMT
    Client-Date: Sun, 19 Aug 2012 21:33:12 GMT
    Client-Peer: 213.180.193.247:80
    Client-Response-Num: 1
    Set-Cookie: yandexuid=5560701771345412000; domain=.yandex.ru; path=/; expires=Tue, 19 Jan 2038 03:14:07 GMT
    X-Konkurentam: Preved
  • +14
    … и побежали админы добавлять прикольные заголовки на своих серверах, и увеличился траффик, и наступил хаос…
    • 0
      Вот только не понятно с какой стати это уже повод брать кого-то на работу?
      Еще лет 6-7 назад, до всяких Firebug'ов, Inspector'ов и т.д. это еще можно было рассматривать как «крутость», а теперь даже секретарша может читать заголовки…
      • +1
        Да это для смеху. Придет чел на собеседование… думает такой про себя «я суперкулхакер прочел хттп заголовки», а там все на него тычут пальцами и ржут… «хакер» убегает в слезах.
    • 0
      тваю мать, уже было
  • 0
    кстати X- совершенно не нужная приставка(сейчас ее отменили), никто не мешает называть header как вздумается.
  • +4
    «Здравствуйте, я к вам по объявлению в HTTP header'е...»
    • +1
      а они такие в ответ «HTTP 1.1/ 303 See other»
  • +1
    Server: HrenDogonish/0.9
    Date: Mon, 20 Aug 2012 15:52:32 GMT
    Connection: Close


    Не X-header, конечно, но ведь заголовок же. Когда-то этот сервер стоял и на хабре, сейчас нашёл только один живой сайт на нём.
  • 0
    Drupal в заголовках отдаёт ДР первоначального автора системы — Дриса Байтаерта
  • 0
    Не об HTTP, но все же. В консоли Google Chrome при заходе на mail.yandex.ru появляется следующее сообщение:
    Любишь заглядывать в консоль? А может и js умеешь писать? http://company.yandex.ru/job/vacancies/interface_dev_mail.xml

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.