Saya melakukan beberapa pengujian penetrasi pada localhost saya dengan OWASP ZAP, dan terus melaporkan pesan ini:
Header Anti-MIME-Sniffing X-Content-Type-Options tidak disetel ke 'nosniff'
Pemeriksaan ini khusus untuk Internet Explorer 8 dan Google Chrome. Pastikan setiap halaman menetapkan header Tipe Konten dan X-CONTENT-TYPE-OPTIONS jika header Tipe Konten tidak diketahui
Saya tidak tahu apa artinya ini, dan saya tidak dapat menemukan apa pun secara online. Saya sudah mencoba menambahkan:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
tetapi saya masih mendapatkan peringatan.
Apa cara yang benar untuk mengatur parameter?
sumber
for servers hosting untrusted content
. Untuk situs web yang tidak menampilkan konten dari unggahan pengguna, Anda tidak perlu mengatur ini.firefox
mendukung tajuk ini sekarang juga: developer.mozilla.org/en-US/docs/Web/HTTP/Headers/…Deskripsi
Mengatur
X-Content-Type-Options
header respons HTTP server untuknosniff
menginstruksikan browser untuk menonaktifkan konten atau sniffing MIME yang digunakan untuk menggantiContent-Type
header respons untuk menebak dan memproses data menggunakan tipe konten implisit. Meskipun ini bisa nyaman dalam beberapa skenario, itu juga dapat menyebabkan beberapa serangan yang tercantum di bawah ini. Mengkonfigurasi server Anda untuk mengembalikanX-Content-Type-Options
header respons HTTP yang diatur kenosniff
akan menginstruksikan browser yang mendukung sniffing MIME untuk menggunakan yang disediakan serverContent-Type
dan tidak menafsirkan konten sebagai tipe konten yang berbeda.Dukungan Browser
The
X-Content-Type-Options
respon header HTTP didukung di Chrome, Firefox dan Ujung serta browser lainnya. Dukungan browser terbaru tersedia di Tabel Kompatibilitas Browser Mozilla Developer Network (MDN) untuk X-Content-Type-Options:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
Serangan Diatasi
MIME Confusion Attack memungkinkan serangan melalui situs konten yang dibuat pengguna dengan memungkinkan pengguna mengunggah kode berbahaya yang kemudian dieksekusi oleh browser yang akan menafsirkan file menggunakan tipe konten alternatif, misalnya implisit
application/javascript
vs eksplisittext/plain
. Hal ini dapat mengakibatkan serangan "drive-by download" yang merupakan vektor serangan umum untuk phishing. Situs yang menampung konten yang dibuat pengguna harus menggunakan tajuk ini untuk melindungi penggunanya. Ini disebutkan oleh VeraCode dan OWASP yang mengatakan sebagai berikut:Hotlinking tidak resmi juga dapat diaktifkan dengan
Content-Type
mengendus. Dengan menautkan ke situs-situs dengan sumber daya untuk satu tujuan, misalnya melihat, aplikasi dapat mengandalkan sniffing tipe konten dan menghasilkan banyak lalu lintas di situs untuk tujuan lain di mana mungkin melanggar persyaratan layanan mereka, misalnya GitHub menampilkan kode JavaScript untuk dilihat, tetapi tidak untuk eksekusi:sumber
Header ini mencegah serangan berbasis "mime". Header ini mencegah Internet Explorer dari MIME - mengendus respons dari tipe konten yang dinyatakan saat header memerintahkan browser untuk tidak mengesampingkan tipe konten respons. Dengan opsi nosniff, jika server mengatakan kontennya adalah teks / html, browser akan menjadikannya sebagai teks / html.
http://stopmalvertising.com/security/securing-your-website-with-.htaccess/.htaccess-http-headers.html
sumber
Untuk server Microsoft IIS, Anda dapat mengaktifkan header ini melalui
web.config
file Anda :Dan kamu sudah selesai.
sumber
Header HTTP respons X-Content-Type-Options adalah penanda yang digunakan oleh server untuk menunjukkan bahwa tipe MIME yang diiklankan dalam header Tipe-Konten tidak boleh diubah dan diikuti. Ini memungkinkan untuk memilih tidak menggunakan sniffing tipe MIME, atau, dengan kata lain, ini adalah cara untuk mengatakan bahwa webmaster mengetahui apa yang mereka lakukan.
Sintaks:
X-Content-Type-Options: nosniff
Arahan:
nosniff Memblokir permintaan jika tipe yang diminta adalah 1. "style" dan tipe MIME bukan "text / css", atau 2. "script" dan tipe MIME bukan tipe JavaScript MIME.
Catatan: nosniff hanya berlaku untuk tipe "script" dan "style". Menerapkan juga nosniff pada gambar ternyata tidak sesuai dengan situs web yang ada.
Spesifikasi:
https://fetch.spec.whatwg.org/#x-content-type-options-header
sumber