Я выполняю некоторые тесты проникновения на моем локальном хосте с OWASP ZAP, и он продолжает сообщать об этом сообщении:
Заголовок X-Content-Type-Options заголовка Anti-MIME-Sniffing не был установлен в «nosniff»
Эта проверка относится только к Internet Explorer 8 и Google Chrome. Убедитесь, что каждая страница устанавливает заголовок Content-Type и X-CONTENT-TYPE-OPTIONS, если заголовок Content-Type неизвестен
Я понятия не имею, что это значит, и я не смог ничего найти в Интернете. Я попытался добавить:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
но я все еще получаю предупреждение.
Как правильно установить параметр?
источник
for servers hosting untrusted content
. Для веб-сайтов, которые не отображают контент из пользовательских загрузок, вам не нужно устанавливать это.firefox
теперь также поддерживает этот заголовок: developer.mozilla.org/en-US/docs/Web/HTTP/Headers/…Описание
Установка
X-Content-Type-Options
HTTP-заголовка ответа сервера дляnosniff
инструктирования браузеров отключить контент или анализ MIME, который используется для переопределенияContent-Type
заголовков ответов для угадывания и обработки данных с использованием неявного типа контента. Хотя это может быть удобно в некоторых сценариях, оно также может привести к некоторым атакам, перечисленным ниже. Конфигурирование вашего сервера для возврата установленногоX-Content-Type-Options
заголовка ответа HTTPnosniff
будет указывать браузерам, которые поддерживают анализ MIME, использовать предоставленный серверомContent-Type
и не интерпретировать контент как другой тип контента.Поддержка браузера
X-Content-Type-Options
Заголовок ответа HTTP поддерживается в Chrome, Firefox и Крае, а также других браузерах. Последняя поддержка браузеров доступна в таблице совместимости браузеров Mozilla Developer Network (MDN) для X-Content-Type-Options:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
Атаки отражены
MIME Confusion Attack позволяет проводить атаки через сайты с пользовательским содержимым, позволяя пользователям загружать вредоносный код, который затем выполняется браузерами, которые будут интерпретировать файлы с использованием альтернативных типов содержимого, например неявных
application/javascript
и явныхtext/plain
. Это может привести к атаке «Drive-by-Download», которая является распространенным вектором атаки для фишинга. Сайты, на которых размещается пользовательский контент, должны использовать этот заголовок для защиты своих пользователей. Это упоминается VeraCode и OWASP, которые говорят следующее:Несанкционированная горячая ссылка также может быть включена путем
Content-Type
сниффинга. Горячая ссылка на сайты с ресурсами для одной цели, например, для просмотра, приложения могут полагаться на анализ типа контента и генерировать большой трафик на сайтах для другой цели, когда это может противоречить их условиям обслуживания, например, GitHub отображает код JavaScript для просмотра, но не для исполнения:источник
Этот заголовок предотвращает атаки на основе «пантомимы». Этот заголовок не позволяет Internet Explorer MIME-анализировать ответ от заявленного типа содержимого, так как заголовок указывает браузеру не переопределять тип содержимого ответа. С опцией nosniff, если сервер сообщает, что содержимое является text / html, браузер отобразит его как text / html.
http://stopmalvertising.com/security/securing-your-website-with-.htaccess/.htaccess-http-headers.html
источник
Для серверов Microsoft IIS вы можете включить этот заголовок через ваш
web.config
файл:И вы сделали.
источник
HTTP-заголовок ответа X-Content-Type-Options представляет собой маркер, используемый сервером для указания того, что типы MIME, объявленные в заголовках Content-Type, не должны изменяться и должны соблюдаться. Это позволяет отказаться от прослушивания типа MIME, или, другими словами, это способ сказать, что веб-мастера знали, что они делают.
Синтаксис:
X-Content-Type-Options: nosniff
Директивы:
nosniff Блокирует запрос, если запрошенный тип равен 1. «style», а тип MIME не «text / css», или 2. «script», а тип MIME не является типом JavaScript MIME.
Примечание: nosniff применяется только к типам «script» и «style». Также применение nosniff к изображениям оказалось несовместимым с существующими веб-сайтами.
Технические характеристики :
https://fetch.spec.whatwg.org/#x-content-type-options-header
источник