Help us learn about your current experience with the documentation. Take the survey.
缺少 X-Content-Type-Options: nosniff
描述
带有 nosniff 值的 X-Content-Type-Options 头确保用户代理不会尝试猜测所接收数据的格式。浏览器等用户代理通常通过称为 MIME 类型嗅探的过程来猜测所请求的资源类型。
如果没有发送此头,浏览器可能会误解数据,导致 MIME 混淆攻击。如果攻击者能够上传可通过浏览器访问的文件,他们可以上传可被解释为 HTML 的文件,并执行跨站脚本(XSS)攻击。
修复建议
我们建议在服务器范围内设置 X-Content-Type-Options: nosniff 头和值。这确保任何意外缺少 Content-Type 值的资源不会被误解。
详情
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 693.1 | true | 693 | 被动 | 低 |