检测到目标X-Content-Type-Options响应头缺失

最新推荐文章于 2024-02-19 20:00:00 发布
最新推荐文章于 2024-02-19 20:00:00 发布
阅读量3.7k 收藏 5
点赞数 1
分类专栏: 网络安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxyoucan/article/details/131725900
版权

详细描述

X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。

X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。

解决办法

将您的服务器配置为在所有传出请求上发送值为“nosniff”的“X-Content-Type-Options”头。对于 Apache,请参阅:
http://httpd.apache.org/docs/2.2/mod/mod_headers.html
对于 IIS,请参阅:
https://technet.microsoft.com/pl-pl/library/cc753133%28v=ws.10%29.aspx
对于 nginx,请参阅:
http://nginx.org/en/docs/http/ngx_http_headers_module.html

apache的解决办法

参考:
https://stackoverflow.com/questions/21322295/how-can-i-add-x-content-type-options-nosniff-to-all-the-response-headers-from找到配置文件

LoadModule headers_module modules/mod_headers.so

项目的根目录下的.htaccess文件中增加如下内容:

# Extra Security Headers
<IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
    Header always append X-Frame-Options SAMEORIGIN
    Header set X-Content-Type-Options nosniff
</IfModule>

IIS的解决办法

参考:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753133(v=ws.10)

操作方法如下:
在这里插入图片描述
在这里插入图片描述
设置完成不用重启服务,立刻会生效的。

校验方法

浏览器F12,查看网络请求,如下:
在这里插入图片描述

ITKEY_
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
content-disposition:创建并解析HTTP Content-Disposition标
02-03
内容倾向 创建并解析HTTP Content-Disposition标安装$ npm install content-... filename是可选的,如果不需要文件名,但是要指定options ,请将filename设置为undefined 。 res . setHeader ( 'Content-Di
检测到系统有X-Content-Type-Options响应缺失
hzjhss的博客
09-03 1778
X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。https://stackoverflow.com/questions/21322295/how-can-i-add-x-content-type-options-nosniff-to-all-the-response-headers-from找到配置文件。apache的解决办法。
应用安全漏洞扫描问题处理整理
发现问题,面对问题,分析问题,解决问题,总结问题
09-04 4970
安全漏洞扫描是一种针对系统、设备、应用的漏洞进行自动化检测、评估到管理的过程,广泛应用于信息系统安全建设和维护工作,是评估与度量信息系统风险的一种基础手段。
【已解决】“X-Content-Type-Options缺失或不安全
最新发布
ZL_1618的博客
02-19 2590
是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在中,今天我们说下扫描结果中包含X-Content-Type-Options请求header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。
X-Content-Type-Options: nosniff
weixin_34040079的博客
03-05 1万+
如果服务器发送响应 "X-Content-Type-Options: nosniff",则script和styleSheet元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的***。简单理解为:通过设置"X-Content-Type-Options: nosniff"响应,对script和styleSheet...
nginx漏扫出现问题及解决方法
wwppp987的博客
06-11 3853
如果需要找的漏扫问题,可以在评论区发言,我看到就会回复。 检测目标X-Content-Type-Options响应缺失 add_header 'Referrer-Policy' 'origin'; 检测到错误页面web应用服务器版本信息泄露 修改404页面及500页面,不要出现apache、nginx等字样 检测目标Referrer-Policy响应缺失 add_header 'Referrer-Policy' 'origin'; 检测目标X-XSS-Protection响应缺失 add_
X-Frame-Options缺失漏洞修复-esapi.zip
07-17
X-Frame-Options缺失漏洞 修复需要ClickjackFilter.jar ,引入esapi.jar(内含ClickjackFilter)即可。
“Content-Security-Policy”缺失或不安全
热门推荐
(ง •_•)ง
11-23 1万+
中间件为IIS,网站根目录下找到“web.cofig”文件,没有则新建该文件。复制以下代码,粘贴到web.cofig文件中(新建全部复制,已有复制system.webserver) <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <httpProtoc...
web安全测试之appscan – “X-Content-Type-Options缺失或不安全
Programming
06-05 6547
web安全测试之appscan - “X-Content-Type-Options缺失或不安全 - 猿码设计师web 安全测试 appscan; 通过设置"X-Content-Type-Options: nosniff"响应,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件。https://www.yuanmadesign.com/ymdesign/appscan-web-test2Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司
安全修复之Web——HTTP X-Content-Type-Options缺失
CN華少的博客
05-01 3387
安全修复之Web——HTTP X-Content-Type-Options缺失 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:...
Nginx添加安全策略
TomicSun的博客
07-06 2873
Nginx添加安全策略
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe src =" http://localhost:3000?url=https://example.com/ " > </ iframe > 演示版
X-Frame-Options未配置漏洞修复参考v1.0.docx
06-03
X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持。 恶意攻击者可以利用漏洞攻击做到: 击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。
ansible-nginx-proxy:将 nginx 配置为代理服务器的 Ansible 秘诀
06-16
Nginx 代理 将 Nginx 配置为代理服务器的 Ansible 秘诀。 这个秘籍并不试图涵盖所有可用的 Nginx 选项,只是使用将 Nginx 配置为代理服务器。 角色变量 选项 描述 nginx_enabled 在启动时启用 nginx 服务。 nginx_state nginx 服务的状态。 nginx_app_config nginx 应用程序配置的路径。 app_name 应用程序的名称,用于创建应用程序配置,例如应该是简写、小写并且不包含任何空格。 此选项是可选的并绑定到。 随意根据您的配置定义您自己的变量。 选项 描述 app_ip Web 应用程序的内部 IP 地址。 app_port 应用程序使用的端口。 app_fqdn 应用程序的完全限定域名。 非 www 版本。 使用示例 如果不能满足您的需求,请编写您自己的配置。 upstre
x-frame-bypass:绕过X帧选项
05-10
X帧绕过 绕过x-frame-options
X-Frame-Options未设置 防止网页被iframe内框架调用
09-30
有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP部中的X-Frame-Options信息,需要的朋友可以参考下
X-Frame-Options相关文件
08-27
点击劫持:X-Frame-Options缺失 in a frame because it set 'X-Frame-Options' to 'deny'
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
X-Frame-Options HTTP响应是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以用这个来保证他们的内容不会被嵌入到其它网站中,以来避免点击劫持

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值