Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » SeaMonkey | Mozilla Suite (часть 2)

Модерирует : gyra, Maz

Maz (27-01-2023 15:36): SeaMonkey | Mozilla Suite (Часть 3)  Версия для печати • ПодписатьсяДобавить в закладки
На первую страницук этому сообщениюк последнему сообщению

   

syrenium

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Некоторые браузеры пытаются угадать тип содержимого (content type) полученных файлов, подменяя заголовок Content-Type. В то время, как такой подход помогает правильно отображать сайты с неправильно настроенных серверов, он может быть и уязвимостью.
 
Если ваш сайт позволяет пользователям загружать файлы, взломщик может загрузить специальный файл, который будет интерпретирован браузером как HTML или Javascript.
 
Подробности об этом заголовке вы можете найти в IE Security Blog.
 
Чтобы запретить браузеру угадывать тип файла и заставить всегда использовать значение из заголовка Content-Type, вы можете передать заголовок X-Content-Type-Options: nosniff. SecurityMiddleware добавит его ко всем ответам, если настройка SECURE_CONTENT_TYPE_NOSNIFF равна True.
 
Еще одна статья
Данный заголовок позволяет повысить защищенность пользователей Internet Explorer, в основном, при проведении XSS атак. Элементы script и style-Sheet отклоняют ответы с неправильными типами MIME, если сервер отправляет заголовок ответа «X-Content-Type-Options: nosniff».
 
Это функция обеспечения безопасности, которая помогает предотвратить атаки с использованием подмены типов MIME.
 
Это поведение влияет на реакцию браузера при отправке сервером в ответе заголовка X-Content-Type-Options: nosniff.
 
Если директива “nosniff ” получена в ответе по ссылке styleSheet, Internet Explorer не загружает файл “stylesheet”, если тип MIME не соответствует “text/css”.
 
Если директива “nosniff ” получена в ответе по ссылке script, то Internet Explorer не загружает файл “script”, если его тип MIME не содержит одно из следующих значений:
“application/ecmascript”
“application/javascript”
“application/x-javascript”
“text/ecmascript”
“text/javascript”
“text/jscript”
“text/x-javascript”
“text/vbs”
“text/vbscript”
Таким образом у злоумышленника не выйдет использовать js файл с неверным типом MIME для проведения атаки.
Всего записей: 671 | Зарегистр. 07-12-2015 | Отправлено: 00:52 23-02-2018 | Исправлено: syrenium, 15:23 23-02-2018
   

На первую страницук этому сообщениюк последнему сообщению

Компьютерный форум Ru.Board » Компьютеры » Программы » SeaMonkey | Mozilla Suite (часть 2)
Maz (27-01-2023 15:36): SeaMonkey | Mozilla Suite (Часть 3)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru