syrenium
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Некоторые браузеры пытаются угадать тип содержимого (content type) полученных файлов, подменяя заголовок Content-Type. В то время, как такой подход помогает правильно отображать сайты с неправильно настроенных серверов, он может быть и уязвимостью. Если ваш сайт позволяет пользователям загружать файлы, взломщик может загрузить специальный файл, который будет интерпретирован браузером как HTML или Javascript. Подробности об этом заголовке вы можете найти в IE Security Blog. Чтобы запретить браузеру угадывать тип файла и заставить всегда использовать значение из заголовка Content-Type, вы можете передать заголовок X-Content-Type-Options: nosniff. SecurityMiddleware добавит его ко всем ответам, если настройка SECURE_CONTENT_TYPE_NOSNIFF равна True. Еще одна статья Данный заголовок позволяет повысить защищенность пользователей Internet Explorer, в основном, при проведении XSS атак. Элементы script и style-Sheet отклоняют ответы с неправильными типами MIME, если сервер отправляет заголовок ответа «X-Content-Type-Options: nosniff». Это функция обеспечения безопасности, которая помогает предотвратить атаки с использованием подмены типов MIME. Это поведение влияет на реакцию браузера при отправке сервером в ответе заголовка X-Content-Type-Options: nosniff. Если директива “nosniff ” получена в ответе по ссылке styleSheet, Internet Explorer не загружает файл “stylesheet”, если тип MIME не соответствует “text/css”. Если директива “nosniff ” получена в ответе по ссылке script, то Internet Explorer не загружает файл “script”, если его тип MIME не содержит одно из следующих значений: “application/ecmascript” “application/javascript” “application/x-javascript” “text/ecmascript” “text/javascript” “text/jscript” “text/x-javascript” “text/vbs” “text/vbscript” Таким образом у злоумышленника не выйдет использовать js файл с неверным типом MIME для проведения атаки. | Всего записей: 671 | Зарегистр. 07-12-2015 | Отправлено: 00:52 23-02-2018 | Исправлено: syrenium, 15:23 23-02-2018 |
|