html - specified - x content type options header not implemented
¿Qué es "X-Content-Type-Options=nosniff"? (5)
Estoy haciendo algunas pruebas de penetración en mi host local con OWASP ZAP, y sigue informando este mensaje:
El encabezado Anti-MIME-Sniffing X-Content-Type-Options no se configuró en ''nosniff''
Esta comprobación es específica de Internet Explorer 8 y Google Chrome. Asegúrese de que cada página establezca un encabezado de tipo de contenido y las OPCIONES DE TIPO DE CONTENIDO X si el encabezado de tipo de contenido es desconocido
No tengo idea de lo que esto significa, y no pude encontrar nada en línea. He intentado añadir:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
Pero la sigo recibiendo la alerta.
¿Cuál es la forma correcta de configurar el parámetro?
El encabezado HTTP de respuesta de X-Content-Type-Options es un marcador utilizado por el servidor para indicar que los tipos MIME anunciados en los encabezados Content-Type no se deben cambiar y seguir. Esto permite optar por dejar de detectar el tipo de MIME o, en otras palabras, es una forma de decir que los webmasters sabían lo que estaban haciendo.
Sintaxis:
Opciones de tipo de contenido X: nosniff
Directivas:
nosniff Bloquea una solicitud si el tipo solicitado es 1. "style" y el tipo MIME no es "text / css", o 2. "script" y el tipo MIME no es un tipo MIME de JavaScript.
Nota: nosniff solo se aplica a los tipos de "script" y "estilo". También la aplicación de nosniff a las imágenes resultó ser incompatible con los sitios web existentes.
Especificación
https://fetch.spec.whatwg.org/#x-content-type-options-header
Evita que el navegador realice un rastreo de tipo MIME. La mayoría de los navegadores ahora están respetando este encabezado, incluidos Chrome / Chromium, Edge, IE> = 8.0, Firefox> = 50 y Opera> = 13. Vea:
Enviar el nuevo encabezado de respuesta de Opciones de tipo de contenido X con el valor nosniff evitará que Internet Explorer detecte MIME una respuesta fuera del tipo de contenido declarado.
EDITAR:
Ah, y eso es un encabezado HTTP, no una opción de etiqueta meta HTML.
Consulte también: http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85).aspx
Para los servidores Microsoft IIS, puede habilitar este encabezado a través de su archivo web.config :
<system.webServer>
<httpProtocol>
<customHeaders>
<remove name="X-Content-Type-Options"/>
<add name="X-Content-Type-Options" value="nosniff"/>
</customHeaders>
</httpProtocol>
</system.webServer>
Y ya está hecho.
Descripción
La configuración del encabezado de X-Content-Type-Options respuesta HTTP de un servidor en nosniff indica a los navegadores que deshabiliten el contenido o el MIME sniffing, que se utiliza para anular los encabezados Content-Type respuesta para adivinar y procesar los datos utilizando un tipo de contenido implícito. Si bien esto puede ser conveniente en algunos escenarios, también puede provocar algunos de los ataques que se enumeran a continuación. La configuración de su servidor para devolver el conjunto de encabezados de respuesta HTTP de X-Content-Type-Options a nosniff indicará a los navegadores que admiten el rastreo de MIME utilizar el Content-Type proporcionado por el servidor y no interpretar el contenido como un tipo de contenido diferente.
Soporte del navegador
X-Content-Type-Options es compatible con Chrome, Firefox y Edge, así como con otros navegadores. La última compatibilidad con navegadores está disponible en la Tabla de compatibilidad de navegadores de Mozilla Developer Network (MDN) para X-Content-Type-Options:
developer.mozilla.org/en-US/docs/Web/HTTP/Headers/…
Ataques contrarrestados
MIME Confusion Attack permite ataques a través de sitios de contenido generado por el usuario al permitir que los usuarios carguen códigos maliciosos que luego son ejecutados por navegadores que interpretarán los archivos utilizando tipos de contenido alternativos, por ejemplo,
application/javascriptimplícitaapplication/javascriptcontratext/plainexplícitotext/plain. Esto puede resultar en un ataque de "descarga directa" que es un vector de ataque común para el phishing. Los sitios que alojan contenido generado por el usuario deben usar este encabezado para proteger a sus usuarios. Esto es mencionado por VeraCode y OWASP que dice lo siguiente:Esto reduce la exposición a los ataques de descarga directa y los sitios que ofrecen contenido subido por el usuario que, mediante nombres inteligentes, MSIE podría tratar como archivos HTML ejecutables o dinámicos.
El Hotlinking no autorizado también puede habilitarse mediante el rastreo de
Content-Type. Al enlazar a sitios con recursos para un propósito, por ejemplo, ver, las aplicaciones pueden basarse en el rastreo del tipo de contenido y generar una gran cantidad de tráfico en los sitios para otro propósito donde puede estar en contra de sus términos de servicio, por ejemplo, GitHub muestra el código JavaScript para su visualización. pero no para su ejecución:Algunos usuarios molestos no humanos (a saber, computadoras) han optado por "activos de enlace activo" a través de la función de vista sin formato, utilizando la URL en bruto como
srcpara una etiqueta<script>o<img>. El problema es que estos no son activos estáticos. La vista de archivo sin procesar, como cualquier otra vista en una aplicación de Rails, debe representarse antes de devolverse al usuario. Esto se suma rápidamente a un gran costo en el rendimiento. En el pasado nos hemos visto obligados a bloquear el contenido popular que se sirve de esta manera, ya que ejerce una presión excesiva en nuestros servidores.
# prevent mime based attacks
Header set X-Content-Type-Options "nosniff"
Este encabezado evita los ataques basados en "mime". Este encabezado evita que Internet Explorer pueda rastrear una respuesta fuera del tipo de contenido declarado, ya que el encabezado le indica al navegador que no anule el tipo de contenido de la respuesta. Con la opción nosniff, si el servidor dice que el contenido es texto / html, el navegador lo procesará como texto / html.