Turvapäised on HTTP vastuse päise alamhulk, mille saab määrata veebiserver, mis igaüks rakendab brauserites turbekontrolli. HTTP-päised on metaandmete vorm, mis saadetakse veebipäringute ja vastustega. Turvapäis X-Content-Type-Options takistab brauseritel MIME nuuskimist.
Märkus. HTTP päised ei ole ainult HTTP jaoks ja neid kasutatakse ka HTTPS-is.
Mis on MIME nuusutamine?
Kui andmeid saadetakse üle veebi, on üks kaasatud metaandmete osadest MIME-tüüpi. Mitmeotstarbelised Interneti-meililaiendid ehk MIME-tüübid on standard, mida kasutatakse failis sisalduvate andmete tüübi määratlemiseks, mis näitab, kuidas faili tuleks käsitleda. Tavaliselt koosneb MIME-tüüp tüübist ja alamtüübist koos valikulise parameetri ja väärtusega. Näiteks UTF-8 tekstifailil oleks MIME tüüp "text/plain;charset=UTF-8". Selles näites on tüüp "text", alamtüüp "plain", parameeter on "charset" ja väärtus on "UTF-8".
Failide vale sildistamise ja väärkäitlemise vältimiseks teostavad veebiserverid tavaliselt MIME nuuskimist. See on protsess, kus selgesõnaliselt märgitud MIME-tüüpi ignoreeritakse ja selle asemel analüüsitakse faili algust. Enamik failitüüpe sisaldavad päisejärjestusi, mis näitavad, mis tüüpi failiga on tegemist. Enamasti on MIME-tüübid õiged ja faili nuusutamisel pole vahet. Kui siiski on erinevusi, kasutavad veebiserverid faili käsitlemise määramiseks nuusitud failitüüpi, mitte deklareeritud MIME-tüüpi.
Probleem ilmneb siis, kui ründajal õnnestub üles laadida fail, näiteks PNG-pilt, kuid see fail on tõesti midagi muud, näiteks JavaScripti kood. Sarnaste failitüüpide (nt kaks tekstitüüpi) puhul ei pruugi see liiga palju probleeme tekitada. See muutub aga tõsiseks probleemiks, kui selle asemel saab käivitada täiesti kahjutu faili.
Mida X-Content-Type-Options teeb?
Päisel X-Content-Type-Options on ainult üks võimalik väärtus "X-Content-Type-Options: nosniff". Selle lubamine teavitab kasutaja brauserit, et see ei tohi teha MIME-tüüpi nuuskimist ja selle asemel tugineda selgelt deklareeritud väärtusele. Ilma selle sätteta käivitataks JavaScripti fail, kui pahatahtlik JavaScripti fail oleks maskeeritud kujutiseks, näiteks PNG-vormingus. Kui X-Content-Type-Options on lubatud, käsitletakse faili kujutisena, mida ei õnnestu laadida, kuna fail ei ole õiges pildivormingus.
X-Content-Type-Options pole eriti vajalik veebisaidil, mis kasutab täielikult esimese osapoole ressursse, kuna puudub võimalus, et pahatahtlikku faili kogemata serveeritakse. Kui veebisait kasutab kolmanda osapoole sisu, näiteks väliseid või kasutaja esitatud ressursse, pakub X-Content-Type-Options kaitset seda tüüpi rünnakute eest.
Kas olete kunagi kulutanud aega Facebooki postituse loomisele, kuid ei leidnud mustandit? Siit leiate kõik vajalikud teadmised, et Facebooki mustandite leidmine oleks lihtne ja mugav.
Internetis navigeerimine tundub sageli nagu reis teadmiste piiritusse ookeani, kus teie lemmikveebisaidid ja -veebilehed on tuttavad
Kasutage Microsoft Edge Dropi ja jagage hõlpsalt faile ja sõnumeid seadmete vahel, järgides neid algajasõbralikke samme.
Vaadake, kui lihtne on arvutis ja Android-seadmes Google Mapsis marsruute salvestada ja jagada. Vaadake neid algajasõbralikke samme.
Funktsiooniga seotud probleemide lahendamiseks ja kasutamata vahelehtede uuesti laadimise vältimiseks lülitage Google Chrome'is mälusäästja välja.
Kas otsite elujõulist võimalust veebisaidi hostimiseks? Siit saate teada, mis vahe on pühendatud serveri ja jagatud hostimisserveri vahel.
Google Chromesi inkognito režiim on mugav funktsioon, mis võimaldab teil sirvida Internetti ilma sirvimisajalugu salvestamata. Siiski üks puudus
Mulle meeldib oma naabreid lõbustada, muutes oma WiFi-võrgu erinevate naljakate nimede vastu. Kui otsite ideid naljaka WiFi-nime jaoks, siis siin
Sügav linkimine on populaarsust koguv kasutajate ümbersuunamise tehnika. Siit leiate teavet sügava linkimise kohta, et kasutada seda oma veebisaidi või rakenduse liikluse suurendamiseks.
AR on meelelahutuse, töö või äri jaoks Internetis järgmine suur asi. Õppige üksikasjalikult AR-pilve, et saada teadlikuks kasutajaks.
