Ich mache mit OWASP ZAP einige Penetrationstests auf meinem lokalen Host und es wird weiterhin folgende Meldung angezeigt:
Der Anti-MIME-Sniffing-Header X-Content-Type-Options wurde nicht auf 'nosniff' gesetzt.
Diese Prüfung gilt speziell für Internet Explorer 8 und Google Chrome. Stellen Sie sicher, dass jede Seite einen Content-Type-Header und die X-CONTENT-TYPE-OPTIONS enthält, wenn der Content-Type-Header unbekannt ist
Ich habe keine Ahnung, was dies bedeutet, und ich konnte online nichts finden. Ich habe versucht hinzuzufügen:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
aber das bekomme ich immer noch alarmiert.
Wie wird der Parameter richtig eingestellt?
quelle
for servers hosting untrusted content
. Für Websites, auf denen keine Inhalte aus Benutzer-Uploads angezeigt werden, müssen Sie dies nicht festlegen.firefox
unterstützt diesen Header jetzt auch: developer.mozilla.org/en-US/docs/Web/HTTP/Headers/…Beschreibung
Wenn Sie den
X-Content-Type-Options
HTTP- Antwortheader eines Servers so einstellen, dassnosniff
Browser angewiesen werden, Inhalte oder MIME-Sniffing zu deaktivieren, werden die Antwortheader überschriebenContent-Type
, um die Daten mithilfe eines impliziten Inhaltstyps zu erraten und zu verarbeiten. Während dies in einigen Szenarien praktisch sein kann, kann es auch zu einigen unten aufgeführten Angriffen führen. Wenn Sie Ihren Server so konfigurieren, dass der festgelegteX-Content-Type-Options
HTTP-Antwortheader zurückgegeben wird,nosniff
werden Browser, die MIME-Sniffing unterstützen, angewiesen, den vom Server bereitgestelltenContent-Type
Inhalt zu verwenden und den Inhalt nicht als anderen Inhaltstyp zu interpretieren.Browser-Unterstützung
Der
X-Content-Type-Options
HTTP-Antwortheader wird in Chrome, Firefox und Edge sowie in anderen Browsern unterstützt. Die neueste Browserunterstützung ist in der Browserkompatibilitätstabelle des Mozilla Developer Network (MDN) für X-Content-Type-Optionen verfügbar:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
Angriffe abgewehrt
MIME Confusion Attack ermöglicht Angriffe über benutzergenerierte Inhaltsseiten, indem Benutzer schädlichen Code hochladen, der dann von Browsern ausgeführt wird, die die Dateien mit alternativen Inhaltstypen interpretieren, z.B. implizit oder
application/javascript
explizittext/plain
. Dies kann zu einem "Drive-by-Download" -Angriff führen, der ein häufiger Angriffsvektor für Phishing ist. Websites, auf denen vom Benutzer generierte Inhalte gehostet werden, sollten diesen Header verwenden, um ihre Benutzer zu schützen. Dies wird von VeraCode und OWASP erwähnt , die Folgendes sagen:Nicht autorisiertes Hotlinking kann auch durch
Content-Type
Schnüffelnaktiviert werden. Durch Hotlinks zu Websites mit Ressourcen für einen bestimmten Zweck, z. B. Anzeigen, können Apps auf das Sniffing von Inhalten angewiesen sein und viel Verkehr auf Websites für einen anderen Zweck generieren, wenn dies möglicherweise gegen ihre Nutzungsbedingungen verstößt, z. B.zeigt GitHub JavaScript-Code zum Anzeigen an. aber nicht zur Ausführung:quelle
Dieser Header verhindert "Mime" -basierte Angriffe. Dieser Header verhindert, dass Internet Explorer eine Antwort vom deklarierten Inhaltstyp MIME-schnüffelt, da der Header den Browser anweist, den Antwortinhaltstyp nicht zu überschreiben. Wenn der Server mit der Option nosniff angibt, dass der Inhalt Text / HTML ist, wird er vom Browser als Text / HTML gerendert.
http://stopmalvertising.com/security/securing-your-website-with-.htaccess/.htaccess-http-headers.html
quelle
Für Microsoft IIS-Server können Sie diesen Header über Ihre
web.config
Datei aktivieren :Und du bist fertig.
quelle
Der HTTP-Header für die X-Content-Type-Options-Antwort ist eine vom Server verwendete Markierung, die angibt, dass die in den Content-Type-Headern angegebenen MIME-Typen nicht geändert und befolgt werden sollten. Dies ermöglicht das Deaktivieren des MIME-Sniffing, oder mit anderen Worten, es ist eine Möglichkeit zu sagen, dass die Webmaster wussten, was sie taten.
Syntax :
X-Content-Type-Optionen: nosniff
Richtlinien:
nosniff Blockiert eine Anforderung, wenn der angeforderte Typ 1. "style" und der MIME-Typ nicht "text / css" oder 2. "script" und der MIME-Typ kein JavaScript-MIME-Typ ist.
Hinweis: nosniff gilt nur für die Typen "script" und "style". Auch das Anwenden von nosniff auf Bilder erwies sich als nicht kompatibel mit vorhandenen Websites.
Spezifikation :
https://fetch.spec.whatwg.org/#x-content-type-options-header
quelle