MIME-Typ-Verifizierung
Der X-Content-Type-Options
Header teilt Browsern mit, dass Skripte und Stylesheets nur geladen werden sollen, wenn der Server den korrekten MIME-Typ angibt.
Problem
Ohne ordnungsgemäße MIME-Typ-Verifizierung könnten Browser Dateien, die keine Skripte oder Stylesheets sind, fälschlicherweise als solche erkennen. Dieser Fehler ermöglicht es, potenziell schädliche Dateien über <script>
und <link>
Elemente im Rahmen von Cross-Site-Scripting (XSS) Angriffen zu laden.
Lösung
Alle Websites müssen den X-Content-Type-Options
Header mit dem Wert nosniff
setzen und geeignete MIME-Typen für die Dateien festlegen, die sie bereitstellen (d.h. über den Content-Type
Header).
nosniff
blockiert eine Anfrage, wenn das Ziel der Anfrage:
- vom Typ
style
ist und der MIME-Typ nichttext/css
ist. - vom Typ
script
ist und der MIME-Typ kein gültiger JavaScript MIME-Typ ist.
Beispiele
Verhindern Sie, dass Browser fälschlicherweise Nicht-Stylesheets als Stylesheets und Nicht-Skripte als Skripte erkennen:
X-Content-Type-Options: nosniff