Bezpečnostní hlavičky jsou podmnožinou hlaviček HTTP odpovědí, které mohou být nastaveny webovým serverem, z nichž každá aplikuje kontrolu zabezpečení v prohlížečích. HTTP hlavičky jsou formou metadat zasílaných s webovými požadavky a odpověďmi. Bezpečnostní hlavička „X-Content-Type-Options“ brání prohlížečům v provádění sniffování MIME.
Poznámka: HTTP hlavičky nejsou výhradní pro HTTP a používají se také v HTTPS.
Co je to MIME sniffing?
Při odesílání jakýchkoli dat přes web je jednou ze zahrnutých metadat typ MIME. Multipurpose Internet Mail Extensions neboli typy MIME jsou standardem používaným k definování typu dat, která soubor obsahuje, což naznačuje, jak se má se souborem nakládat. Typ MIME se obvykle skládá z typu a podtypu s volitelným parametrem a hodnotou. Například textový soubor UTF-8 bude mít typ MIME „text/plain;charset=UTF-8“. V tomto příkladu je typ „text“, podtyp je „plain“, parametr je „charset“ a hodnota je „UTF-8“.
Aby se zabránilo nesprávnému označování souborů a nesprávnému zacházení se soubory, webové servery obvykle provádějí čichání MIME. Toto je proces, kde je ignorován explicitně uvedený typ MIME a místo toho je analyzován začátek souboru. Většina typů souborů obsahuje sekvence záhlaví, které označují, o jaký typ souboru se jedná. Typy MIME jsou většinou správné a při čichání souboru nezáleží na tom. Pokud však existuje rozdíl, webové servery použijí k určení, jak se souborem zacházet, namísto deklarovaného typu MIME typ souboru sniffed.
Problém nastane, pokud se útočníkovi podaří nahrát soubor, jako je obrázek PNG, ale soubor je ve skutečnosti něco jiného, jako kód JavaScript. U podobných typů souborů, jako jsou dva typy textu, to nemusí způsobit příliš velký problém. To se však stává vážným problémem, pokud lze místo toho spustit zcela neškodný soubor.
Co dělá X-Content-Type-Options?
Záhlaví X-Content-Type-Options má pouze jednu možnou hodnotu „X-Content-Type-Options: nosniff“. Povolení informuje prohlížeč uživatele, že nesmí provádět sniffování typu MIME a místo toho se musí spoléhat na explicitně deklarovanou hodnotu. Pokud by bez tohoto nastavení byl škodlivý soubor JavaScript maskován jako obrázek, například PNG, byl by soubor JavaScript spuštěn. Je-li povoleno X-Content-Type-Options, bude se soubor považovat za obrázek, který se nenačte, protože soubor není platným formátem obrázku.
X-Content-Type-Options není zvláště nutné na webu, který využívá výhradně zdroje první strany, protože neexistuje žádná šance, že by byl náhodně obsluhován škodlivý soubor. Pokud web používá obsah třetích stran, jako jsou externí zdroje nebo zdroje zaslané uživatelem, pak X-Content-Type-Options poskytuje ochranu proti tomuto typu útoku.
Už vás nebaví konflikt synchronizace více profilů v Microsoft Edge, který vám ničí prohlížení? Objevte podrobná řešení, která vám pomohou vyřešit chyby synchronizace, sloučit profily a bezproblémově synchronizovat napříč zařízeními. Funguje na nejnovějších verzích Edge!
Už vás nebaví chyba pozastavené synchronizace s Microsoft Edge, která narušuje prohlížení? Objevte rychlé a efektivní kroky k řešení problémů, které vám pomohou obnovit bezproblémovou synchronizaci napříč zařízeními. Aktualizováno s nejnovějšími opravami pro bezproblémový zážitek z Edge.
Vyřešte frustrující chybu „Nerozpoznaný disk“ u zpětně kompatibilních her na Xbox Series X|S. Postupujte podle našich osvědčených podrobných řešení a okamžitě obnovte svou klasickou herní knihovnu.
Máte potíže s resetováním PIN kódu v aplikaci Microsoft Edge pro Windows Hello? Objevte podrobná řešení, která vám pomohou rychle vyřešit problém. Získejte přístup k prohlížeči bez frustrace – aktualizováno na nejnovější aktualizace systému Windows.
Máte potíže s prázdnou bílou obrazovkou v Microsoft Edge na úvodní obrazovce? Objevte podrobná řešení problému s prázdnou bílou obrazovkou v Edge, od rychlého resetu až po pokročilé opravy. Vraťte se k plynulému prohlížení!
Podrobný návod, jak zálohovat data aplikace Microsoft Edge, jako jsou záložky, hesla, historie a nastavení, před resetováním systému. Chraňte své základní údaje o prohlížení pomocí snadných a spolehlivých metod.
Máte problém s chybou „Microsoft Edge Capture Card No Signal 60FPS“? Objevte osvědčená řešení, která obnoví signál, plynule dosáhnou 60FPS a streamují bez zpoždění. Podrobný návod pro okamžité výsledky!
Už vás nebaví frustrující chyba konfigurace vedlejšího zobrazení v Microsoft Edge? Objevte jednoduchá a podrobná řešení, která ji rychle vyřeší a obnoví plynulé prohlížení. Aktualizováno s nejnovějšími řešeními!
Zasekli jste se s chybou 124 instalačního programu Microsoft Edge? Získejte podrobné opravy, které rychle vyřeší chyby instalace. Osvědčená řešení pro bezproblémovou instalaci Edge ve Windows. Nejsou potřeba žádné technické znalosti!
Už vás nebaví chyba 124 instalačního programu Microsoft Edge, která blokuje instalaci systému Windows 11? Postupujte podle našich osvědčených a snadných řešení, která vám pomohou rychle vyřešit problém a obnovit plynulé prohlížení. Nejsou potřeba žádné technické znalosti!
