Apache ‘x-content-type-options‘ header.

已于 2022-01-20 15:32:15 修改
阅读量2.9k 收藏 1
点赞数
分类专栏: # Apache Httpd # JavaScript Web 文章标签: apache p2p gnu
于 2022-01-20 15:31:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huxyc/article/details/122602249
版权
JavaScript 同时被 3 个专栏收录
17 篇文章 0 订阅
订阅专栏
Web
15 篇文章 0 订阅
订阅专栏
Apache Httpd
14 篇文章 0 订阅
订阅专栏

 

 

x-content-type-options要求所有资源都使用 HTTP 响应标头提供服务。X-Content-Type-Options: nosniff

为什么这很重要?

有时,元数据浏览器需要知道如何解释资源的内容不正确,不可靠或不存在。在这些情况下,浏览器使用上下文线索来检查响应的字节以检测文件格式。这称为MIME 嗅探,无论服务器发送的指定 HTTP 标头如何,都会完成此操作。Content-Type

例如,如果浏览器请求脚本,但该脚本的媒体类型不正确(例如),浏览器仍将检测脚本并执行它。x/x

虽然内容嗅探可能是有益的,但它也可能使网站/应用程序暴露于基于MIME类型混淆的攻击,从而导致安全问题,特别是在托管不可信内容的服务器的情况下。

幸运的是,浏览器提供了一种通过使用 HTTP 响应标头选择退出 MIME 嗅探的方法。X-Content-Type-Options: nosniff

回到上一个示例,如果为脚本发送了标头,并且浏览器检测到它是一个脚本,并且它没有与其中一种JavaScript媒体类型一起提供,则该脚本将被阻止。X-Content-Type-Options: nosniff

虽然现代浏览器主要尊重脚本和样式表的标头,但Chromium在其他资源上使用此响应标头进行跨源读取阻止

提示检查什么?

该提示将检查是否所有资源都与值为 的 HTTP 标头一起提供。X-Content-Type-Optionsnosniff

触发提示的示例

HTTP 标头不向资源提供服务。X-Content-Type-Options

HTTP/... 200 OK

...

Content-Type: image/png

脚本随 HTTP 标头一起提供,但值为 无效。X-Content-Type-Optionsno-sniff

HTTP/... 200 OK

...
Content-Type: text/javascript; charset=utf-8
X-Content-Type-Options: no-sniff

传递提示的示例

脚本随有效值为 的 HTTP 标头一起提供。X-Content-Type-Optionsnosniff

HTTP/... 200 OK

...
Content-Type: text/javascript; charset=utf-8
X-Content-Type-Options: nosniff

如何配置服务器以传递此提示

如何配置 Apache

可以将 Apache 配置为使用 Header 指令添加标头

<IfModule mod_headers.c>
    Header always set X-Content-Type-Options nosniff
</IfModule>

请注意:

  • 上面的代码片段适用于 Apache ,但您需要启用mod_headers才能使其生效。v2.2.0+

  • 如果您有权访问Apache 主配置文件(通常称为 ),则应在该文件中的<Directory>部分中添加逻辑。这通常是推荐的方式,因为使用.htaccess文件会减慢Apache的速度!httpd.conf

    如果您无权访问主配置文件(在托管服务中很常见),请在网站/应用程序的根目录中添加代码段。.htaccess

有关完整的配置集,而不仅仅是此规则,请参阅Apache服务器配置相关文档

如何配置 IIS 

 
 
   
 
   
 
   
如何使用这个提示?
 
   
此软件包由 webhint 自动安装:
 
   
 
npm install hint --save-dev
 
 
   
要使用它,请通过.hintrc配置文件激活它:
 
   
 
{
    "connector": {...},
    "formatters": [...],
    "hints": {
        "x-content-type-options": "error",
        ...
    },
    "parsers": [...],
    ...
}
 
 
   
注意:推荐的运行webhint的方式是作为您的项目。devDependency
 
   
延伸阅读
 
    
  
 
 
 
 TOP 

 
 

参考文献:
 

使用"X-Content-Type-Options"标头|webhint 文档 

                

        

        

    

  


    

      

        

            

              
                
                  Risehuxyc
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
apache服务器配置响应头,Web安全 之 X-Frame-Options响应头配置

				
			

			

				

					weixin_39629129的博客
				

				

					08-13
					
					3417
					
				

			

		

		

			
				
最近项目处于测试阶段,在安全报告中存在"X-Frame-Options 响应头缺失 "问题,显示可能会造成跨帧脚本编制攻击,如下图:X-Frame-Options:值有三个:(1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。(2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。(3)ALLOW-FROM https://exa...

			
		

	



                

              
                



	

		

			

				
					
java+设置全局响应头_[网络/Java EE/Web]Tomcat/Nginx中配置全局的安全响应头(header)——X-Frame-Options / X-XSS-Protection / X...

				
			

			

				

					weixin_28871821的博客
				

				

					02-27
					
					1799
					
				

			

		

		

			
				
Step1 配置Tomcatstep1.1 查看是否已配置目标的HTTP网络安全头方式1 – Tomcat / conf/web.xmlcat /opt/myTomcat/conf/web.xml | grep --color=auto  -C 10 -i "httpHeaderSecurity"方式2 查看Tomcat的任一Web HTTP网页/请求step1.2 确认Tomcat服务器中(ca...

			
		

	



                


  
              

                


	

		

			

				
					
安全修复之Web——HTTP X-Content-Type-Options缺失

				
			

			

				

					CN華少的博客
				

				

					05-01
					
					3624
					
				

			

		

		

			
				
安全修复之Web——HTTP X-Content-Type-Options缺失
背景
日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。
同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。
开发环境

系统:windows10
语言:...

			
		

	





	

		

			

				
					
HTTP协议安全头部X-Content-Type-Options引入的问题

				
			

			

				

					qq_53058639的博客
				

				

					05-28
					
					818
					
				

			

		

		

			
				
本文于2016年4月完成,发布在个人博客网站上。前段时间测试MM反馈了一个问题,在富文本编辑器里上传的图片无法正常呈现。因为Jackie在本机的环境上没有观察类似的现象,而恰好那天测试环境的某个重要配项被改错了,于是Jackie想当然的归类为配置项错误引入的问题。但修改完测试环境的配置项后,测试反馈富文本编辑器内图片无法呈现的现象依然存在。这下就有点麻烦了,问题是在版本上线的前一天晚上发现的,如果问题不能尽快处理,势必对第二天的版本上线产生影响。

			
		

	



		

			
		



	

		

			

				
					
Web安全之充分利用 X-Content-Type-Options

				
			

			

				

					路多辛的所思所想
				

				

					06-13
					
					7281
					
				

			

		

		

			
				
X-Content-Type-Options 是一种 HTTP 响应头,用于控制浏览器是否应该尝试 MIME 类型嗅探。如果启用了 X-Content-Type-Options,浏览器将遵循服务器提供的 MIME 类型,用于防止浏览器执行 MIME 类型错误的响应体(response body)。

			
		

	





	

		

			

				
					
【云原生技术】- 安全容器隔离技术:安全隔离、性能隔离、故障隔离

				
			

			

				

					wangluoanquan111的博客
				

				

					03-26
					
					1846
					
				

			

		

		

			
				
在容器化和微服务架构中,“安全隔离”、“性能隔离” 和 “故障隔离” 是三个关键概念,它们是确保系统稳定、安全和高效运行的重要方面。

			
		

	





	

		

			

				
					
检测到系统有X-Content-Type-Options响应头缺失

				
			

			

				

					hzjhss的博客
				

				

					09-03
					
					2263
					
				

			

		

		

			
				
X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。https://stackoverflow.com/questions/21322295/how-can-i-add-x-content-type-options-nosniff-to-all-the-response-headers-from找到配置文件。apache的解决办法。

			
		

	





	

		

			

				
					
缺失"X-Content-Type-Options"头修复方法

				
			

			

				

					06-06
				

			

		

		

			
				
Header set X-Content-Type-Options "nosniff" ``` 在Nginx服务器中,可以通过在配置文件中添加以下行来启用该头: ``` add_header X-Content-Type-Options nosniff; ```  2. 通过应用程序框架添加该头 如果你正在...

			
		

	





	

		

			

				
					
nginx 修复检测到目标X-Content-Type-Options响应头缺失

					
最新发布

				
			

			

				

					09-12
				

			

		

		

			
				
要修复这个问题,你需要确保在后端服务器上设置了正确的`X-Content-Type-Options`响应头,通常是通过配置服务器软件(如Apache、Node.js应用等)来完成的。在Nginx作为前端代理的情况下,你可以通过`proxy_set_...

			
		

	





	

		

			

				
					
Tomcat解决跨域的两个jar包java-property-utils-1.9.jar和cors-filter-1.7.jar

				
			

			

				

					10-13
				

			

		

		

			
				
 allowed.headers=Content-Type, Authorization, X-Requested-With  allow.credentials=true  exposed.headers=X-Total-Count, X-Custom-Header  ```  这里,`allowed.origins`指定了允许跨域的源,`allowed.methods...

			
		

	





	

		

			

				
					
WEB安全防御总结一 : 响应头(X-Content-Type-Options、X-Frame-Options、X-XSS-Protection)

				
			

			

				

					了解—学习—进步—满足
				

				

					09-08
					
					1万+
					
				

			

		

		

			
				
漏洞简介:

可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。

修复建议:

1. 响应头中存在 X-Content-Type-Options 属性,而且 X-Content-Type-Options 属性值包含“nosniff”。

2. 检测 HTTP X-Frame-Options 字段,字段值包含 deny 或 sameorigin。

3.配置...

			
		

	





	

		

			

				
					
Nginx配置Http响应头安全策略

				
			

			

				

					RisunJan的博客
				

				

					10-22
					
					1万+
					
				

			

		

		

			
				
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。
2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。
3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过

			
		

	





	

		

			

				
					
Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options

					
热门推荐

				
			

			

				

					时光有伱,记忆成花~
				

				

					03-08
					
					3万+
					
				

			

		

		

			
				
Tomcat目录下,配置请求头

    打开tomcat/conf/web.xml,增加如下配置(交流群:700637673)


    <filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catal...

			
		

	





	

		

			

				
					
几个“HTTP 请求头”告警处理

				
			

			

				

					虫虫的博客
				

				

					09-23
					
					2763
					
				

			

		

		

			
				
给NC搬了个家,发现又是一堆警告,都是HTTP响应头相关的,不太影响使用,但对于强迫症来说,不解决一下怎么行

一些老旧的告警解决方法之前都写过了,见这里:https://bugxia.com/?s=nextcloud+后台+警告


HTTP的请求头 “Strict-Transport-Security” 未设置为至少 “15552000” 秒。
HTTP 请求头 “X-Content-Type-Options” 没有配置为 “nosniff”。这是一个潜在的安全或隐私风险,我们建议您调整这项设置。
HT

			
		

	





	

		

			

				
					
检测到目标X-Content-Type-Options响应头缺失

				
			

			

				

					lxyoucan的博客
				

				

					07-15
					
					6049
					
				

			

		

		

			
				
X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对  MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。

			
		

	





	

		

			

				
					
HTTP协议

				
			

			

				

					qq_38721353的博客
				

				

					06-30
					
					199
					
				

			

		

		

			
				
HTTP协议为超文本传输协议,定义了客服端和服务器端交互的方式,使用TCP作为支撑运输协议,服务器端不保存客户的任何信息,属于无状态协议。
1、持续连接与非持续连接

非持续连接:每个请求/响应对是经一个单独的TCP连接发送
持续连接:所有的请求/响应对是经相同的TCP连接发送

持续连接是默认方式
     两种方式的响应时间,比如有x个对象

非持续连接:每个对象首先需要建立连接,三次握手(第三次握手客户端可以携带请求数据)加上服务器的响应为2个RTT,

			
		

	





	

		

			

				
					
【已解决】“X-Content-Type-Options”头缺失或不安全

				
			

			

				

					ZL_1618的博客
				

				

					02-19
					
					4173
					
				

			

		

		

			
				
是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在中,今天我们说下扫描结果中包含X-Content-Type-Options请求头header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。

			
		

	





	

		

			

				
					
X-Frame-Options X-XSS-Protection X-Content-Type-Options 响应头的配置

				
			

			

				

					吃个榴莲压压鲸的博客
				

				

					09-22
					
					4269
					
				

			

		

		

			
				
nginx下配置:

Header头设置
通过以下设置可有效防止XSS攻击


add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";

X-Frame-Options: 响应头表示是否允许浏览器加载frame等属性,有三个配置DENY禁止任何网页被嵌入,SAMEORIGIN只允许本网站的嵌套,ALLOW

			
		

	





	

		

			

				
					
Apache的配置

				
			

			

				

					williamsir的专栏
				

				

					01-18
					
					1366
					
				

			

		

		

			
				
Apache的配置由httpd.conf文件配置,因此下面的配置指令都是在httpd.conf文件中修改。    主站点的配置(基本配置)    (1) 基本配置:ServerRoot "/mnt/software/apache2" #你的apache软件安装的位置。其它指定的目录如果没有指定绝对路径,则目录是相对于该目录。     PidFile logs/httpd.pid #

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
Risehuxyc

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值