我正在使用OWASP ZAP对我的localhost进行一些渗透测试,它不断报告此消息:
未将Anti-MIME-Sniffing标头X-Content-Type-Options设置为“无嗅探”
此检查特定于Internet Explorer 8和GoogleChrome。如果Content-Type标头未知,请确保每个页面都设置Content-Type标头和X-CONTENT-TYPE-OPTIONS
我不知道这是什么意思,我在网上也找不到任何东西。我尝试过添加:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
但我仍然收到警报。
设置参数的正确方法是什么?
它可以防止浏览器进行MIME类型的嗅探。大多数浏览器现在都尊重这个标头,包括Chrome/Chromium、边缘IE
https://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx?Redirected=true
发送新的X-Content-Type-Options响应标头,并将其值设为nosnff,将防止Internet Explorer从声明的内容类型之外进行MIME嗅探响应。
编辑:
哦,那是一个HTTP的标题,不是超文本标记语言元标记选项。
另见:http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85). aspx
描述
将服务器的X-Content-Type-OptionsHTTP响应标头设置为nosnff会指示浏览器禁用内容或MIME嗅探,MIME嗅探用于覆盖响应Content-Type标头以使用隐式内容类型猜测和处理数据。虽然这在某些情况下可能很方便,但也可能导致以下列出的一些攻击。将服务器配置为返回X-Content-Type-OptionsHTTP响应标头设置为nosnff将指示支持MIME嗅探的浏览器使用服务器提供的Content-Type并且不会将内容解释为不同的内容类型。
浏览器支持
X-Content-Type-OptionsHTTP响应头在Chrome、Firefox和Edge以及其他浏览器中受支持。最新的浏览器支持可在Mozilla Developer Network(MDN)浏览器兼容性表中获得。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
反击攻击
>
MIME混淆攻击允许用户上传恶意代码,然后由浏览器执行,浏览器将使用替代内容类型解释文件,例如隐式application/javascript与显式text/纯。这可能导致“路过下载”攻击,这是网络钓鱼的常见攻击媒介。托管用户生成内容的站点应使用此标头来保护其用户。VeraCode和OWASP提到了这一点,它们说:
这减少了对免下车下载攻击和提供用户上传内容的站点的暴露,通过巧妙的命名,MSIE可以将这些内容视为可执行或动态超文本标记语言文件。
未经授权的热链接也可以通过Content-Type嗅探启用。通过为一个目的(例如查看)热链接到具有资源的站点,应用程序可以依赖内容类型嗅探并在站点上产生大量流量,用于可能违反其服务条款的另一个目的,例如GitHub显示JavaScript代码以供查看,但不用于执行:
一些讨厌的非人类用户(即计算机)已经开始通过原始视图功能“热链接”资产——使用原始URL作为的src
# prevent mime based attacks
Header set X-Content-Type-Options "nosniff"
此标头可防止基于“mime”的攻击。此标头可防止Internet Explorer从声明的content-type中MIME嗅探响应,因为标头指示浏览器不要覆盖响应内容类型。如果服务器说内容是text/html,则浏览器将其呈现为text/html。
http://stopmalvertising.com/security/securing-your-website-with-.htaccess/.htaccess-http-headers.html
