Insecure HTTP Header Setting: Content-Type
不安全的 HTTP 标头设置:Content-Type
描述
缺少 Content-Type 标头,这意味着该网站可能面临 MIME 嗅探攻击的风险。
MIME 类型嗅探是浏览器中的一项标准功能,用于在服务器发送的 HTTP 标头不确定或缺失时,寻找呈现数据的适当方式。
这允许旧版本的 Internet Explorer 和 Chrome 对响应正文执行 MIME 嗅探,可能会导致响应正文被解释并显示为非预期的内容类型。
一旦网站允许用户上传发布在 Web 服务器上的内容,就会出现此问题。如果攻击者可以通过操纵内容使其被 Web 应用程序接受并由浏览器作为 HTML 呈现来执行 XSS(跨站脚本)攻击,那么就有可能在(例如)图像文件中注入代码,并使受害者在查看该图像时执行此代码。
建议
- 在提供资源时,请确保发送 content-type 标头以适当地匹配所提供资源的类型。例如,如果您提供的是 HTML 页面,则应发送 HTTP 标头:
Content-Type: text/html
- 添加值为“nosniff”的 X-Content-Type-Options 标头,通知浏览器信任站点发送的 content-type 就是适当的 content-type,并且不要尝试“嗅探”真正的内容类型。
X-Content-Type-Options: nosniff
链接
标准
- PCI_STANDARDS:
- REQ_2_2
- REQ_6_2
- REQ_6_3
- REQ_6_4
- REQ_11_3
- HIPAA_CONTROLS:
- SECURITY212
- SECURITY213