Help us learn about your current experience with the documentation. Take the survey.
缺少 Content-Type 头
描述
Content-Type 头确保用户代理能正确解释接收到的数据。如果没有发送这个头,浏览器可能会误解数据,导致 MIME 混淆攻击。如果攻击者能够上传可通过浏览器访问的文件,他们可以上传可能被解释为 HTML 的文件,从而执行跨站脚本(XSS)攻击。
修复建议
确保所有资源返回与其格式匹配的正确的 Content-Type 头。例如,当返回 JavaScript 文件时,响应头应该是:Content-Type: application/javascript
为了增加保护,我们建议所有资源返回 X-Content-Type-Options: nosniff 头,以禁用用户代理对资源的错误解释。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 16.1 | true | 16 | Passive | Low |