Insecure HTTP Header Setting: Content-Type
安全でないHTTPヘッダー設定: Content-Type
説明
Content-Typeヘッダーが欠落しているため、このWebサイトはMIMEスニッフィング攻撃の危険にさらされる可能性があります。
MIMEタイプのスニッフィングは、サーバーから送信されたHTTPヘッダーが決定的でない場合や欠落している場合に、データをレンダリングする適切な方法を見つけるためのブラウザの標準機能です。
これにより、古いバージョンのInternet ExplorerやChromeがレスポンスの本文に対してMIMEスニッフィングを実行できるようになり、レスポンスの本文が意図したコンテンツタイプとは別のものとして解釈され、表示される可能性があります。
この問題は、WebサイトがWebサーバー上で公開されるコンテンツをユーザーがアップロードできるようにした場合に発生します。攻撃者がコンテンツを操作してWebアプリケーションに受け入れさせ、ブラウザにHTMLとしてレンダリングさせることでXSS(クロスサイトスクリプティング)攻撃を実行できる場合、たとえば画像ファイルにコードをインジェクションし、被害者が画像を表示した際にそれを実行させることが可能になります。
推奨事項
- リソースを提供する場合、提供されるリソースのタイプと適切に一致するようにcontent-typeヘッダーを送信してください。たとえば、HTMLページを提供する場合、次のHTTPヘッダーを送信する必要があります。
Content-Type: text/html
- 値が「nosniff」のX-Content-Type-Optionsヘッダーを追加して、サイトが送信した適切なコンテンツタイプを信頼し、実際のコンテンツタイプの「スニッフィング」を試みないようブラウザに指示します。
X-Content-Type-Options: nosniff
リンク
標準
- PCI_STANDARDS:
- REQ_2_2
- REQ_6_2
- REQ_6_3
- REQ_6_4
- REQ_11_3
- HIPAA_CONTROLS:
- SECURITY212
- SECURITY213