什么是“x-content-type-options=nosniff”?
我正在用OWASP ZAP在我的本地主机上做一些渗透测试,它不断报告这样的消息:
反MIME-嗅探标头X-Content-Type-Options未设置为“nosniff”
此检查针对Internet Explorer 8和Google Chrome。确保每个页面都设置一个Content-Type头,如果Content-Type头未知,则设置X-CONTENT-TYPE-OPTIONS
我不知道这意味着什么,我在网上也找不到任何东西。我尝试添加:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
但我还是得到了警报。
参数的正确设置方式是什么?
共有1个答案
它防止浏览器执行MIME类型的嗅探。现在大多数浏览器都尊重这个头,包括Chrome/Chromium、Edge、IE>=8.0、Firefox>=50和Opera>=13。参见:
https://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx?redirected=true
发送具有nosniff值的新X-Content-Type-Options响应标头将阻止Internet Explorer从声明的content-type中MIME嗅探响应。
编辑:
哦,那是HTTP头,不是HTML元标记选项。
另请参阅:http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85).aspx
-
问题内容: 我正在使用OWASP ZAP在我的本地主机上进行一些渗透测试,并且不断报告此消息: Anti-MIME-Sniffing标头X-Content-Type-Options未设置为’nosniff’ 此检查特定于Internet Explorer 8和Google Chrome。如果Content- Type标头未知,请确保每个页面都设置了Content-Type标头和X-CONTENT-
-
的X-Content-Type-Options响应的 HTTP 标头是由服务器使用以指示在通告的 MIME 类型的标记Content-Type标头不应该被改变,并且被遵循。这允许选择不使用 MIME 类型的嗅探,换句话说,它可以说网站管理员知道他们在做什么。 微软在 IE 8 中引入了这个头文件,作为网站管理员阻止正在发生的内容嗅探的一种方式,并且可以将不可执行的 MIME 类型转换为可执行的 M
-
Content-Type实体头用于指示所述媒体类型的资源的。 作为响应,Content-Type标题告诉客户实际返回的内容的内容类型。浏览器在某些情况下会执行 MIME 嗅探,并不一定会遵循此标头的值; 为了防止这种行为,X-Content-Type-Options可以将标题设置为nosniff。 在请求(例如POST或PUT)中,客户端通知服务器实际发送了什么类型的数据。 Header type
-
formats This option is used to override default TinyMCE formats or add custom formats to the editor. TinyMCE is equipped with a formatting engine that allows you to register a set of styles and attrib
-
allow_conditional_comments This option allows you to specify whether the editor should parse and keep conditional comments. Type: Boolean Default Value: false Possible Values: true, false Example tiny
-
body_class This option enables you to specify a class for the body of each editor instance. This class can then be used to do TinyMCE specific overrides in your content_css. There is also a specific m