【已解决】“X-Content-Type-Options”头缺失或不安全

最新推荐文章于 2025-03-03 11:39:25 发布
最新推荐文章于 2025-03-03 11:39:25 发布
阅读量1.3w 收藏 11
点赞数 2
分类专栏: bug记录 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45481821/article/details/131241020
版权

Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。

web安全测试中,今天我们说下扫描结果中包含X-Content-Type-Options请求头header的缺失或不安全的时候,我们该如何应对。

风险:可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。

技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。运行潜在的脚本文件,会存在丢失数据的风险。

简单理解为:通过设置”X-Content-Type-Options: nosniff”响应标头,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件。

X-Content-Type-Options: nosniff

如果响应中接收到 “nosniff” 指令,则浏览器不会加载“script”文件,除非 MIME 类型匹配以下值之一:

  • “application/ecmascript”
  • “application/javascript”
  • “application/x-javascript”
  • “text/ecmascript”
  • “text/javascript”
  • “text/jscript”
  • “text/x-javascript”
  • “text/vbs”
  • “text/vbscript”

Nginx Web服务器

  • 在服务器块下的nginx.conf中添加以下参数
 server {
      listen       443;
      server_name  ds.v.com;  # 驾驶安全


      location / {
          client_body_timeout  7200;
          proxy_read_timeout 7200;
          proxy_send_timeout 7200;
          proxy_pass   http://127.0.0.1:9005/;
          proxy_cookie_path / "/; httponly; secure; SameSite=Lax";
          add_header X-Content-Type-Options nosniff;
      }

      ssl_certificate     "/etc/nginx/ssl/ds/ds.v.com.pem";
      ssl_certificate_key "/etc/nginx/ssl/ds/ds.v.com.key";
      # ssl_protocols      TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
      ssl_protocols      TLSv1.3;

      ssl_session_cache shared:SSL:1m;
      ssl_session_timeout  10m;
      ssl_ciphers HIGH:!aNULL:!MD5;
      ssl_prefer_server_ciphers on;
    }

保存nginx.conf文件, 然后重新启动Nginx以查看结果。

响应缺省xss防御(X-XSS-Protection、X-Content-Type-Options
墨痕诉清风的博客
06-28 835
Web对于 HTTP 请求的响应缺少 X-Content-Type-Options,这意味着此网站更易遭受跨站脚本攻击(XSS)。X-Content-Type-Options 响应相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。
IIS环境检测到网站存在响应X-XSS-Protection\X-Frame-Options\X-Content-Type-Options漏洞解决办法
hyb3280660的专栏
08-10 5731
IIS站点响应标设置:X-XSS-Protection、X-Frame-Options、X-Content-Type-Options
检测到目标X-Content-Type-Options响应缺失
lxyoucan的博客
07-15 7290
X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应缺失使得目标URL更易遭受跨站脚本攻击。
X-Content-Type-Options响应缺失使得目标URL更易遭受跨站脚本攻击
qq_43893277的博客
03-03 122
X-Content-Type-Options响应缺失使得目标URL更易遭受跨站脚本攻击。
Content-Security-Policy”缺失安全
热门推荐
(ง •_•)ง
11-23 1万+
中间件为IIS,网站根目录下找到“web.cofig”文件,没有则新建该文件。复制以下代码,粘贴到web.cofig文件中(新建全部复制,已有复制system.webserver) <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <httpProtoc...
【云原生技术】- 安全容器隔离技术:安全隔离、性能隔离、故障隔离
wangluoanquan111的博客
03-26 2021
在容器化和微服务架构中,“安全隔离”、“性能隔离” 和 “故障隔离” 是三个关键概念,它们是确保系统稳定、安全和高效运行的重要方面。
检测到系统有X-Content-Type-Options响应缺失
hzjhss的博客
09-03 2489
X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而能对其进行修改。https://stackoverflow.com/questions/21322295/how-can-i-add-x-content-type-options-nosniff-to-all-the-response-headers-from找到配置文件。apache的解决办法。
漏洞扫描,解决缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”问题
hsc的博客
07-22 7166
缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”解决方法 用AppScan扫描网站,高危问题:缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”解决方式 解决方法 将下面内容添加到nginx.conf 文件http 结构下 # security headers add_header X-Frame-Options
X-Frame-Options未设置 HTTP X-Content-Type-Options缺失 HTTP Referrer-Policy缺失
08-05
2. X-Content-Type-Options缺失:X-Content-Type-Options是用来防止MIME类型欺骗攻击的。如果未设置该部,攻击者可能会通过伪装成同的MIME类型来绕过浏览器的安全检查。建议设置X-Content-Type-Options为...
tomcat8.5如何通过配置文件解决X-Download-Options,X-Permitted-Cross-Domain-Policies,Referrer-Policy,X-Frame-Options,X-Content-Type-Options缺失问题
03-23
在Tomcat 8.5中,可以通过修改配置文件来解决X-Download-Options,X-Permitted-Cross-Domain-Policies,Referrer-Policy,X-Frame-Options,X-Content-Type-Options缺失的问题。具体步骤如下: 1. 打开Tomcat的...
检测到目标X-Content-Type-Options响应缺失 如何处理
最新发布
03-08
好的,我现在需要处理用户提出的关于X-Content-Type-Options响应缺失的问题。首先,我要确认自己对这个安全部的理解是否正确。X-Content-Type-Options是HTTP响应之一,主要用来防止浏览器进行MIME类型嗅探,...
web安全测试之appscan – “X-Content-Type-Options缺失安全
Programming
06-05 6728
web安全测试之appscan - “X-Content-Type-Options缺失安全 - 猿码设计师web 安全测试 appscan; 通过设置"X-Content-Type-Options: nosniff"响应标,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉安全的文件。https://www.yuanmadesign.com/ymdesign/appscan-web-test2Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司
安全修复之Web——HTTP X-Content-Type-Options缺失
CN華少的博客
05-01 3769
安全修复之Web——HTTP X-Content-Type-Options缺失 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:...
测试(绿盟)
hello.reader
08-16 2711
测试(绿盟) 绿盟科技漏洞报告,IIS 修复 web.config 配置 <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <security> <requestFiltering> <requestLimits> &lt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陶然同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值