安全头响应头(三)​X-Content-Type-Options

已于 2023-08-16 22:00:26 修改
阅读量2.7k 收藏
点赞数
分类专栏: HTTP 文章标签: http
于 2023-08-15 00:14:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/132286081
版权

一  X-Content-Type-Options响应头

说明:先写个'框架',后续补充

思考:请求类型是 "style" 和 "script" 是什么意思?

                                            script标签  style  StyleSheet

  

JavaScript MIME type

文件扩展和Content-Type的映射关系

场景: 一个'.jpg的图片文件'被恶意嵌入了可'执行'的'js'代码

①  基础铺垫

nginx(十八)mime.types的作用

+++++++ "列举CDN一个应用场景:避免nginx默认的Content-Type元数据" +++++++

types {}

default_type '';

特点: 此时'nginx'不返回'Content-Type'响应头,完全由'浏览器'自行判断

②  浏览器默认行为

1) 互联网上的资源有'各种类型',通常浏览器会根据'响应头的Content-Type字段'来'分辨'它们的类型

2) 例如:"text/html"代表html文档、"image/png"是PNG图片、"text/css"是CSS样式文档

3) 然而'有些资源的Content-Type'是'错的'或者'未定义[最常见]'

ps:这时某些浏览器会'启用MIME-sniffing'来'猜测'该资源类型,'解析'内容并'执行' --> "默认"

  1、给一个html文件指定Content-Type为"text/plain",在IE8中会被当做html来解析

  2、利用浏览器的这个特性,攻击者甚至可以让'原本应该解析为图片'的请求被解析为'js'

遗留: X-Content-Type-Options: nosniff  --> "禁用浏览器的类型猜测行为"

+++++++++++++++++++  "案例讲解"  +++++++++++++++++++

# 1) 取消nginx'默认'的 mime.types配置
types        { } 

# 2) 指定css文件返回指定content-type      
default_type text/html;

 

③   问题引入

1、资源'展示'

2、这里'简化'nginx.conf配置,只做了'核心'说明

3、测试'现象'

现象: url请求'.css和.js 静态文件',nginx 返回的Content-Type是'text/html'

chrome '报错':

  1、Refused to execute script from 'xxx.js' 

  2、because its MIME type ('text/html') is not executable,

  3、and strict MIME type checking is enabled

强调:作为'运维人员',尽可能的'保留'和'还原'案发的'事故'现场

疑惑:为什么没有根据'mine.type'返回正确的'Content-Type'?

现象及其相似 

index.html 'meta text/html' 中通过'<script src="js/min.wzj.js">'相对路径'加载'文件

++++++++++ "题外话" ++++++++++

location ~* min.wzj.js$ {

   alias /home/kiosk/WebstormProjects/form/js/min.wzj.js 

}

location和alias的搭配问题 

1、原因:是不是'原来'是好的,然后加了'安全加固'造成的

 add_header X-Content-Type-Options: nosniff

2、观察: 是'nginx返回静态资源'还是后端'返回'的

  通过'$upstream_addr'或'sent_http_content_type'判断

  备注:对比'$upstream_http_content_type'和'sent_http_content_type' -->"加工处理"

  补充: 定义一个'独一无二的响应头[加always]'放到对应的location中,看'到底生效了没'?

  附加: 在client看'异常url'的响应体,也'可以'辅助理解

3、排错

  1、如果是'后端返回错误的Content-Type',nginx如何能拦截?  --> 'proxy_hide_header'

  2、如果是'nginx自身返回错误的Content-Type',如何排查呢?

  3、​诡异: nginx把'图片'识别为'text/html',加了add_header都'不管用'

4、遗留: nginx是根据'$request_uri'还是'$uri' 是查找'静态'资源?

相关配置说明

遗留:add_header '显示添加'会不会'影响'default_type?

​思考:如果Content-Type'请求头'只有有限的几个,与响应头(Content-Type)'协商不一致'呢?

探究:原来虽然配置了安全头,但是'add_header'作用域覆盖了,导致'没有生效'

④  参考链接

css 的content-type为"text/html" 不是 "text/css" html兼容性

解决css文件返回格式Content-TYpe为text/html问题

php-fpm处为通配符"/",使得所有请求均会被php-fpm处理,导致css文件的响应头出错

浏览器strict MIME type checking问题处理

为 CSS 设置正确的 Content-Type

Java Web 发送请求 CSS文件 和 JS文件引用失败

wzj_110
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nuxt-security:Nuxt.js的模块,用于配置安全
04-28
@ dansmaculotte / nuxt-security Nuxt.js的模块,用于配置安全等 特征 该模块允许您配置各种安全,例如CSP,HSTS,甚至生成security.txt文件。 以下是可用功能的列表: 严格传输安全 内容安全策略标 X-Frame-Options X-Xss保护 X-Content-Type-Options Referrer-Policy标 功能策略标 security.txt文件生成 去做 使用OpenPGP签署security.txt 标作为SPA的元标记 公钥 设置 将@dansmaculotte/nuxt-security依赖项添加到您的项目中 yarn add @dansmaculotte/nuxt-security # or npm install @dansmaculotte/nuxt-securit
connect-version:具有Connect的多个版本化的ApplicationsAPI
05-21
连接版本 具有Connect的多个版本化应用程序/ API 入门 $ npm install connect-version 原料药 var connectVersion = require ( 'connect-version' ) ; app . use ( connectVersion ( options ) ) ; connectVersion对象是工厂函数,用于创建中间件,从而使一个连接服务器可以托管应用程序的多个版本。 options参数提供出厂配置。 它提供了受支持的版本号的字典以及在请求版本时要使用的相应中间件/路由器/子应用程序。 默认情况下,connect-version使用Content-Type协商来确定用于传入请求的正确版本号。 例子 内容类型不同的应用程序/ API版本 此示例演示了如何使用内容类型协商根据客户端要接受的版本返回不同的响应主体。 服务器通过
web安全:x-content-type-options设置
juruiyuan111的专栏
03-18 2万+
如果服务器发送响应 "X-Content-Type-Options: nosniff",则script和styleSheet元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。 简单理解为:通过设置"X-Content-Type-Options: nosniff"响应,对script和styleSheet在执行是通过MIME 类型来过滤掉不安全的文件 服务器发送含有"X-Content-Type-Options: n...
【已解决】“X-Content-Type-Options缺失或不安全
ZL_1618的博客
02-19 1322
是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在中,今天我们说下扫描结果中包含X-Content-Type-Options请求header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。
掌握X-Content-Type-Options的防护之力
最新发布
todoitbo的博客
03-05 947
本文将深入探讨未设置X-Content-Type-Options的潜在风险,以及如何通过正确配置这一信息来确保用户代理以正确的方式呈现站点内容。通过生动的例子和实用的建议,帮助读者提高站点的安全性和内容一致性。
检测到系统有X-Content-Type-Options响应缺失
hzjhss的博客
09-03 1767
X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。https://stackoverflow.com/questions/21322295/how-can-i-add-x-content-type-options-nosniff-to-all-the-response-headers-from找到配置文件。apache的解决办法。
HTTP协议安全部X-Content-Type-Options引入的问题
Jackie的家
01-11 1334
HTTP协议安全部X-Content-Type-Options引入的问题
WEB安全防御总结一 : 响应(X-Content-Type-Options、X-Frame-Options、X-XSS-Protection)
了解—学习—进步—满足
09-08 1万+
漏洞简介: 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。 修复建议: 1. 响应中存在 X-Content-Type-Options 属性,而且 X-Content-Type-Options 属性值包含“nosniff”。 2. 检测 HTTP X-Frame-Options 字段,字段值包含 deny 或 sameorigin。 3.配置...
Web安全之充分利用 X-Content-Type-Options
路多辛的所思所想
06-13 6538
X-Content-Type-Options 是一种 HTTP 响应,用于控制浏览器是否应该尝试 MIME 类型嗅探。如果启用了 X-Content-Type-Options,浏览器将遵循服务器提供的 MIME 类型,用于防止浏览器执行 MIME 类型错误的响应体(response body)。
Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options
热门推荐
时光有伱,记忆成花~
03-08 3万+
Tomcat目录下,配置请求 打开tomcat/conf/web.xml,增加如下配置(交流群:700637673) <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catal...
大聪明教你学Java | Spring Boot 项目设置 X-Content-Type-Options 响应
不肯过江东丶
03-04 2万+
大聪明开发的应用系统已经上线年了,然而就在昨天依然被扫描出了一个漏洞 —— 远程 Web 系统应用程序不采取措施来减轻一类 Web 应用程序漏洞,说白了就是远程网络应用程序不设置 X-Content-Type 响应。刚看到扫描报告的时候还真有点麻爪,不知道如何下手,最后经过一番努力还是成功的修复了这个漏洞,那么借此机会,大聪明就和大家分享一下如何修复此类漏洞。
nuxt-helmet:Nuxt的
04-28
nuxt的盔 与Nuxt.js轻松集成 通过设置各种HTTP来帮助您保护Nuxt应用程序。 默认情况下, 将设置X-DNS-Prefetch-Control , X-Frame-Options , Strict-Transport-Security , X-Download-Options , Expect-Ct , Referrer-Policy和X-Content-Type-Options。 此外,该模块还将默认设置X-Permitted-Cross-Domain-Policies标。 | 设置 将带有yarn或npm nuxt-helmet依赖项添加到您的项目中 添加nuxt-helmet在年初modules的部分nuxt.config.js 配置它: { modules : [ 'nuxt-helmet' //...other mo
HTTP 响应信息
01-08
HTTP 响应信息 HTTP请求提供了关于请求,响应或者其他的发送实体的信息。 在本章节中我们将具体来介绍HTTP响应信息。 应答 说明 Allow 服务器支持哪些请求方法(如GET、POST等)。 Content-Encoding 文档的编码(Encode)方法。只有在解码之后才可以得到Content-Type指定的内容类型。利用gzip压缩文档能够显著地减少HTML文档的下载时间。Java的GZIPOutputStream可以很方便地进行gzip压缩,但只有Unix上的Netscape和Windows上的IE 4、IE 5才支持它。因此,Servlet应
VaporSecurityHeaders:为 Vapor 强化安全
05-30
目前支持: 内容安全策略仅内容安全策略报告X-XSS-保护X-Frame-Options X-Content-Type-Options 严格传输安全 (HSTS) 将 HTTP 重定向到 HTTPS 服务器推荐人政策这些标将有助于防止跨站点脚本攻击,SSL降级攻击,...
Penetration Testing Kit-crx插件
03-09
4)OWASP安全-检查您的Web应用程序是否遵循OWASP的建议以获取标,例如X-XSS-Protection或X-Content-Type-Options。 5)Swagger实用程序可让您查看swagger文件中的所有端点-json或yaml。 6)AppSpider Pro报告...
jquery-1.1.3 效率提高800%
07-21
processData(true) 数据类型: Boolean 在默认的情况下,如果data选项传进的数据是一个对象而不是字符串,将会自动地被处理和转换成一个查询字符串,以适应默认的content-type--"application/x-...
安全响应(二)X-Frame-Options
wzj_110的博客
07-06 2870
Sources源形式。
检测到目标X-Content-Type-Options响应缺失
07-27
目标缺少X-Content-Type-Options响应的情况可能会导致安全风险,因为它是一种重要的安全措施。该响应用于防止浏览器对非预期的MIME类型进行解析,从而防止一些潜在的攻击,如MIME类型欺骗攻击或XSS(跨站脚本)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值