安全头响应头(三)​X-Content-Type-Options

这篇具有很好参考价值的文章主要介绍了安全头响应头(三)​X-Content-Type-Options。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一  X-Content-Type-Options响应头

说明:先写个'框架',后续补充

安全头响应头(三)​X-Content-Type-Options,HTTP,http,网络协议

思考:请求类型是 "style" 和 "script" 是什么意思?

                                            script标签  style  StyleSheet

安全头响应头(三)​X-Content-Type-Options,HTTP,http,网络协议  

安全头响应头(三)​X-Content-Type-Options,HTTP,http,网络协议

JavaScript MIME type

文件扩展和Content-Type的映射关系

场景: 一个'.jpg的图片文件'被恶意嵌入了可'执行'的'js'代码

①  基础铺垫

nginx(十八)mime.types的作用

+++++++ "列举CDN一个应用场景:避免nginx默认的Content-Type元数据" +++++++

types {}

default_type '';

特点: 此时'nginx'不返回'Content-Type'响应头,完全由'浏览器'自行判断

②  浏览器默认行为

1) 互联网上的资源有'各种类型',通常浏览器会根据'响应头的Content-Type字段'来'分辨'它们的类型

2) 例如:"text/html"代表html文档、"image/png"是PNG图片、"text/css"是CSS样式文档

3) 然而'有些资源的Content-Type'是'错的'或者'未定义[最常见]'

ps:这时某些浏览器会'启用MIME-sniffing'来'猜测'该资源类型,'解析'内容并'执行' --> "默认"

  1、给一个html文件指定Content-Type为"text/plain",在IE8中会被当做html来解析

  2、利用浏览器的这个特性,攻击者甚至可以让'原本应该解析为图片'的请求被解析为'js'

遗留: X-Content-Type-Options: nosniff  --> "禁用浏览器的类型猜测行为"

+++++++++++++++++++  "案例讲解"  +++++++++++++++++++

安全头响应头(三)​X-Content-Type-Options,HTTP,http,网络协议

# 1) 取消nginx'默认'的 mime.types配置
types        { } 

# 2) 指定css文件返回指定content-type      
default_type text/html;  

安全头响应头(三)​X-Content-Type-Options,HTTP,http,网络协议

 安全头响应头(三)​X-Content-Type-Options,HTTP,http,网络协议

安全头响应头(三)​X-Content-Type-Options,HTTP,http,网络协议

③   问题引入

1、资源'展示'

安全头响应头(三)​X-Content-Type-Options,HTTP,http,网络协议

2、这里'简化'nginx.conf配置,只做了'核心'说明

安全头响应头(三)​X-Content-Type-Options,HTTP,http,网络协议

3、测试'现象'

安全头响应头(三)​X-Content-Type-Options,HTTP,http,网络协议

现象: url请求'.css和.js 静态文件',nginx 返回的Content-Type是'text/html'

chrome '报错':

  1、Refused to execute script from 'xxx.js' 

  2、because its MIME type ('text/html') is not executable,

  3、and strict MIME type checking is enabled

强调:作为'运维人员',尽可能的'保留'和'还原'案发的'事故'现场

疑惑:为什么没有根据'mine.type'返回正确的'Content-Type'?

安全头响应头(三)​X-Content-Type-Options,HTTP,http,网络协议

现象及其相似 

index.html 'meta text/html' 中通过'<script src="js/min.wzj.js">'相对路径'加载'文件

++++++++++ "题外话" ++++++++++

location ~* min.wzj.js$ {

   alias /home/kiosk/WebstormProjects/form/js/min.wzj.js 

}

location和alias的搭配问题 

1、原因:是不是'原来'是好的,然后加了'安全加固'造成的

 add_header X-Content-Type-Options: nosniff

2、观察: 是'nginx返回静态资源'还是后端'返回'的

  通过'$upstream_addr'或'sent_http_content_type'判断

  备注:对比'$upstream_http_content_type'和'sent_http_content_type' -->"加工处理"

  补充: 定义一个'独一无二的响应头[加always]'放到对应的location中,看'到底生效了没'?

  附加: 在client看'异常url'的响应体,也'可以'辅助理解

3、排错

  1、如果是'后端返回错误的Content-Type',nginx如何能拦截?  --> 'proxy_hide_header'

  2、如果是'nginx自身返回错误的Content-Type',如何排查呢?

  3、​诡异: nginx把'图片'识别为'text/html',加了add_header都'不管用'

4、遗留: nginx是根据'$request_uri'还是'$uri' 是查找'静态'资源?

相关配置说明

遗留:add_header '显示添加'会不会'影响'default_type?

​思考:如果Content-Type'请求头'只有有限的几个,与响应头(Content-Type)'协商不一致'呢?

探究:原来虽然配置了安全头,但是'add_header'作用域覆盖了,导致'没有生效'

④  参考链接

css 的content-type为"text/html" 不是 "text/css" html兼容性

解决css文件返回格式Content-TYpe为text/html问题

php-fpm处为通配符"/",使得所有请求均会被php-fpm处理,导致css文件的响应头出错

浏览器strict MIME type checking问题处理

为 CSS 设置正确的 Content-Type

Java Web 发送请求 CSS文件 和 JS文件引用失败文章来源地址https://www.toymoban.com/news/detail-651108.html

到了这里,关于安全头响应头(三)​X-Content-Type-Options的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法

    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 基于Apache Web服务器对一下发现的安全问题进行配置处理,包含允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置,HTTP X-Download-Options缺失,HTTP X-Content-Type-Options缺失,HTTP

    2024年02月07日
    浏览(41)
  • Nginx:设置响应header的content-type

    Nginx通常根据/etc/nginx/mime.types文件中类型设置content-type 有时需要根据实际需要指定content-type,比如对于下载,如果按照mime.types里面的定义: image/jpeg                            jpeg jpg; 那么当下载图片时,浏览器会在窗口内直接显示图片,而不是另存为文件 。 通过设置

    2024年02月12日
    浏览(37)
  • 浏览器响应数据类型(Content-Type)详解

    浏览器要显示内容,首先需要判断响应消息中的数据属于哪种类型。Web 可以处理的数据包括文字、图像、声音、视频等多种类型,每种数据的显示方法都不同,因此必须先要知道返回了什么类型的数据,否则无法正确显示。 这时,我们需要一些信息才能判断数据类型,原则

    2024年02月11日
    浏览(48)
  • http中的Content-Type类型

    最近在做web端下载的时候需要给前端返回一个二进制的流,需要在请求头中设置一个 那么http中的Content-Type有具体有哪些呢?他们具体的使用场景又是怎样的呢? MediaType,即是Internet Media Type,互联网媒体类型;也叫做MIME类型,在Http协议消息头中,使用Content-Type来表示具体请

    2024年02月06日
    浏览(53)
  • 详解Http的Content-Type

    目录 1.概述 2.常用类型 2.1.application/x-www-form-urllencoded 2.2.application/json 3.Spring MVC支持的编码 3.1.实验 3.2.适配器 3.3.自定义适配器 HTTP(HyperText Transfer Protocol),超文本传输协议。超文本(Hypertext)是一种结构化的文本,其中包含了超链接(Hyperlink)的能力,通过超链接可以在不

    2024年02月09日
    浏览(37)
  • HTTP 响应头 X-Frame-Options

    X-Frame-Options HTTP 响应头用来给浏览器一个指示。该指示的作用为:是否允许页面在 frame , /iframe 或者 object 中展现。 网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 重点1:当访问网页浏览器支持 X-Fram

    2024年02月04日
    浏览(35)
  • Http Content-type 对照表

    文件扩展名 Content-Type(Mime-Type) 文件扩展名 Content-Type(Mime-Type) .*( 二进制流,不知道下载文件类型) application/octet-stream .tif image/tiff .001 application/x-001 .301 application/x-301 .323 text/h323 .906 application/x-906 .907 drawing/907 .a11 application/x-a11 .acp audio/x-mei-aac .ai application/postscript .aif audio/aiff

    2024年02月09日
    浏览(43)
  • Http请求中的Content-Type

    前阵子公司接回了一个旧的项目,刚开始的时候没有注意看前端设置的content-type,然后与后端同事进行接口联调的时候就,有时候发现数据就是对不上,后面看了一下代码中的axios请求相关设置,才发现是自己走坑了!主要是在请求拦截和响应拦截这块的处理,请求拦截这块

    2024年02月12日
    浏览(82)
  • HTTP的Content-type 和 responseType

    后端返回字节流,前端进行图片下载时遇到了问题,定位花了不少时间,本文再次记录梳理下  XMLHttpRequest本身支持responseType 允许我们手动的设置返回数据的类型 \\\'\\\' responseType 为空字符串时,采用默认类型 DOMString,与设置为 text 相同。 arraybuffer response 是一个包含二进制数据的

    2024年01月22日
    浏览(36)
  • HTPP入门教程||HTTP 状态码||HTTP content-type

    当浏览者访问一个网页时,浏览者的浏览器会向网页所在服务器发出请求。当浏览器接收并显示网页前,此网页所在的服务器会返回一个包含 HTTP 状态码的信息头(server header)用以响应浏览器的请求。 HTTP 状态码的英文为  HTTP Status Code 。。 下面是常见的 HTTP 状态码: 200

    2024年02月16日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包