Movatterモバイル変換

[0]ホーム
URL:

  1. Web
  2. Security
  3. Praktische Implementierungsleitfäden
  4. MIME-Typ-Verifizierung

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten.Erfahre mehr über dieses Experiment.

View in EnglishAlways switch to English

MIME-Typ-Verifizierung

DerX-Content-Type-Options-Header informiert Browser, Skripte und Stylesheets nur dann zu laden, wenn der Server den korrektenMIME-Typ angibt.

Problem

Ohne ordnungsgemäße MIME-Typ-Verifizierung könnten Browser fälschlicherweise Nicht-Skript- und Nicht-Stylesheet-Dateien als Skripte oder Stylesheets erkennen. Dieser Fehler ermöglicht das Laden potenziell schädlicher Dateien über<script> und<link>-Elemente im Rahmen von Cross-Site-Scripting (XSS)-Angriffen.

Lösung

Alle Websites müssen denX-Content-Type-Options-Header mit dem Wertnosniff setzen und geeignete MIME-Typen für die Dateien angeben, die sie bereitstellen (d.h. über denContent-Type-Header).

nosniff blockiert eine Anfrage, wenn das Anfragedatum:

  • vom Typstyle ist und der MIME-Typ nichttext/css ist.
  • vom Typscript ist und der MIME-Typ kein gültigerJavaScript-MIME-Typ ist.

Beispiele

Verhindert, dass Browser fälschlicherweise Nicht-Stylesheets als Stylesheets und Nicht-Skripte als Skripte erkennen:

http
X-Content-Type-Options: nosniff

Siehe auch

Help improve MDN

Learn how to contribute Diese Seite wurde automatisch aus dem Englischen übersetzt.
[8]ページ先頭
©2009-2025 Movatter.jp