MIME-Typ-Verifizierung

Der X-Content-Type-Options Header teilt Browsern mit, dass Skripte und Stylesheets nur geladen werden sollen, wenn der Server den korrekten MIME-Typ angibt.

Problem

Ohne ordnungsgemäße MIME-Typ-Verifizierung könnten Browser Dateien, die keine Skripte oder Stylesheets sind, fälschlicherweise als solche erkennen. Dieser Fehler ermöglicht es, potenziell schädliche Dateien über <script> und <link> Elemente im Rahmen von Cross-Site-Scripting (XSS) Angriffen zu laden.

Lösung

Alle Websites müssen den X-Content-Type-Options Header mit dem Wert nosniff setzen und geeignete MIME-Typen für die Dateien festlegen, die sie bereitstellen (d.h. über den Content-Type Header).

nosniff blockiert eine Anfrage, wenn das Ziel der Anfrage:

  • vom Typ style ist und der MIME-Typ nicht text/css ist.
  • vom Typ script ist und der MIME-Typ kein gültiger JavaScript MIME-Typ ist.

Beispiele

Verhindern Sie, dass Browser fälschlicherweise Nicht-Stylesheets als Stylesheets und Nicht-Skripte als Skripte erkennen:

http
X-Content-Type-Options: nosniff

Siehe auch