前言
给一个html文档指定Content-Type为"text/plain",在IE8-中这个文档依然会被当做html来解析。利用浏览器的这个特性,攻击者甚至可以让原本应该解析为图片的请求被解析为JavaScript
漏洞呈现
解决
方法一: PHP配置设置
在Header.php文件中添加如下内容:
···
… …
header(
“X-Content-Type-Options: nosniff”
);
… …
···
方法二: nginx配置设置
... ...
server {
... ...
add_header X-Content-Type-Options "nosniff";
... ...
结语
… …