wake-up-neo.com

Was ist "X-Content-Type-Options = nosniff"?

Ich mache einige Penetrationstests auf meinem lokalen Host mit OWASP ZAP und er meldet weiterhin folgende Meldung:

Der Anti-MIME-Sniffing-Header X-Content-Type-Options wurde nicht auf 'nosniff' gesetzt

Diese Prüfung gilt nur für Internet Explorer 8 und Google Chrome. Stellen Sie sicher, dass jede Seite einen Content-Type-Header und die X-CONTENT-TYPE-OPTIONS festlegt, wenn der Content-Type-Header unbekannt ist

Ich habe keine Ahnung, was das bedeutet, und ich konnte nichts online finden. Ich habe versucht hinzuzufügen:

<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />

aber das bekomme ich trotzdem alarm.

Wie wird der Parameter richtig eingestellt?

246
Koffeehaus

Es verhindert, dass der Browser MIME-Sniffing durchführt. Die meisten Browser respektieren jetzt diesen Header, einschließlich Chrome/Chromium, Edge, IE> = 8.0, Firefox> = 50 und Opera> = 13. Siehe:

https://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx?Redirected=true

Durch das Senden des neuen Antwortheaders für X-Content-Type-Options mit dem Wert nosniff wird verhindert, dass Internet Explorer eine vom deklarierten Inhaltstyp abweichende Antwort per MIME-Sniff abruft.

BEARBEITEN:

Ach ja, das ist ein HTTP-Header, keine HTML-Meta-Tag-Option.

Siehe auch: http://msdn.Microsoft.com/en-us/library/ie/gg622941 (v = vs.85) .aspx

153
Remi Gacogne

Beschreibung

Wenn Sie den HTTP-Antwortheader eines Servers auf X-Content-Type-Options auf nosniff setzen, werden die Browser angewiesen, Content- oder MIME-Sniffing zu deaktivieren, wodurch die Antwortheader auf Content-Type überschrieben werden, um die Daten zu erraten und zu verarbeiten Verwenden eines impliziten Inhaltstyps. Dies kann in einigen Szenarien praktisch sein, aber auch zu einigen der unten aufgeführten Angriffe führen. Wenn Sie Ihren Server so konfigurieren, dass der HTTP-Antwortheader X-Content-Type-Options auf nosniff gesetzt wird, werden Browser, die MIME-Sniffing unterstützen, angewiesen, den vom Server bereitgestellten Content-Type zu verwenden und den Inhalt nicht als anderen Inhaltstyp zu interpretieren.

Browser-Unterstützung

Der HTTP-Antwortheader X-Content-Type-Options wird in Chrome, Firefox und Edge sowie in anderen Browsern unterstützt. Die neueste Browserunterstützung ist in der Mozilla Developer Network (MDN) -Browser-Kompatibilitätstabelle für X-Content-Type-Optionen verfügbar:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options

Angriffe abgewehrt

  1. MIME Confusion Attack ermöglicht Angriffe über benutzergenerierte Inhaltsseiten, indem Benutzer bösartigen Code hochladen, der dann von Browsern ausgeführt wird, die ihn interpretieren die Dateien mit alternativen Inhaltstypen, z impliziter application/javascript vs. expliziter text/plain. Dies kann zu einem "Drive-by-Download" -Angriff führen, der ein häufiger Angriffsvektor für Phishing ist. Websites, die vom Host-Benutzer erstellte Inhalte enthalten, sollten diesen Header verwenden, um ihre Benutzer zu schützen. Dies wird von VeraCode und OWASP erwähnt, die folgendes sagen:

    Dies verringert die Gefahr von Drive-by-Download-Angriffen und Websites, auf denen vom Benutzer hochgeladene Inhalte bereitgestellt werden, die von MSIE durch geschickte Benennung als ausführbare oder dynamische HTML-Dateien behandelt werden könnten.

  2. Nicht autorisiertes Hotlinking kann auch durch Schnüffeln von Content-Type aktiviert werden. Durch Hotlinking zu Sites mit Ressourcen für einen Zweck, z. Wenn Apps angezeigt werden, können sie sich auf das Schnüffeln von Inhalten stützen und viel Verkehr auf Websites für einen anderen Zweck generieren, bei dem dies möglicherweise gegen ihre Nutzungsbedingungen verstößt, z. GitHub zeigt JavaScript-Code zur Anzeige, aber nicht zur Ausführung an:

    Einige lästige nicht-menschliche Benutzer (namentlich Computer) haben versucht, Assets über die Raw-View-Funktion zu "verlinken" - indem sie die Raw-URL als src für ein <script> oder <img> -Tag verwendeten. Das Problem ist, dass dies keine statischen Assets sind. Die Rohdateiansicht muss wie jede andere Ansicht in einer Rails -Anwendung gerendert werden, bevor sie an den Benutzer zurückgegeben wird. Dies führt schnell zu einem hohen Leistungsverlust. In der Vergangenheit waren wir gezwungen, beliebte Inhalte auf diese Weise zu blockieren, da dies unsere Server übermäßig belastete.

104
Grokify
# prevent mime based attacks
Header set X-Content-Type-Options "nosniff"

Dieser Header verhindert "MIME" -basierte Angriffe. Dieser Header verhindert, dass Internet Explorer eine Antwort mit MIME-Sniffing vom deklarierten Inhaltstyp entfernt, da der Header den Browser anweist, den Inhaltstyp der Antwort nicht zu überschreiben. Wenn der Server mit der Option nosniff angibt, dass der Inhalt Text/HTML ist, wird er vom Browser als Text/HTML gerendert.

http://stopmalvertising.com/security/securing-your-website-with-.htaccess/.htaccess-http-headers.html

99
Won Jun Bae

Für Microsoft IIS Server können Sie diesen Header über Ihre web.config Datei aktivieren:

<system.webServer>
    <httpProtocol>
      <customHeaders>
        <remove name="X-Content-Type-Options"/>
        <add name="X-Content-Type-Options" value="nosniff"/>
      </customHeaders>
    </httpProtocol>
</system.webServer>

Und du bist fertig.

21
ComeIn

Der Antwort-HTTP-Header für X-Content-Type-Options ist eine Markierung, die vom Server verwendet wird, um anzuzeigen, dass die in den Content-Type-Headern angekündigten MIME-Typen nicht geändert und befolgt werden sollten. Dies ermöglicht das Deaktivieren von MIME-Sniffing, oder mit anderen Worten, es ist eine Art zu sagen, dass die Webmaster wussten, was sie taten.

Syntax:

X-Content-Type-Optionen: nosniff

Anweisungen:

nosniff Blockiert eine Anfrage, wenn der angeforderte Typ 1. "style" und der MIME-Typ nicht "text/css" oder 2. "script" ist. und der MIME-Typ ist kein JavaScript-MIME-Typ.

Hinweis: nosniff gilt nur für die Typen "script" und "style". Das Anwenden von Nosniff auf Bilder erwies sich als nicht kompatibel mit vorhandenen Websites.

Spezifikation:

https://fetch.spec.whatwg.org/#x-content-type-options-header

7
Sahil Aggarwal