Öryggishausar eru undirmengi HTTP-svarshausa sem hægt er að stilla af vefþjóni sem hver og einn notar öryggisstýringu í vöfrum. HTTP hausar eru tegund lýsigagna sem send eru með vefbeiðnum og svörum. Öryggishausinn „X-Content-Type-Options“ kemur í veg fyrir að vafrar geti framkvæmt MIME-sniff.
Athugið: HTTP hausar eru ekki eingöngu fyrir HTTP og eru einnig notaðir í HTTPS.
Hvað er MIME sniffing?
Þegar einhver gögn eru send í gegnum vefinn er eitt af lýsigögnunum sem fylgja með MIME gerð. Multipurpose Internet Mail Extensions, eða MIME-gerðir eru staðall notaður til að skilgreina tegund gagna sem skrá inniheldur, sem gefur til kynna hvernig ætti að meðhöndla skrána. Venjulega samanstendur MIME-gerðin af gerð og undirgerð með valkvæðri færibreytu og gildi. Til dæmis myndi UTF-8 textaskrá hafa MIME gerðina „text/plain;charset=UTF-8“. Í því dæmi er tegundin „texti“, undirgerðin er „látlaus“, færibreytan er „stafsett“ og gildið „UTF-8“.
Til að koma í veg fyrir ranga merkingu og ranga meðferð skráa, framkvæma vefþjónar venjulega MIME-sniffing. Þetta er ferli þar sem beinlínis tilgreind MIME-gerð er hunsuð og í staðinn er byrjun skráarinnar greind. Flestar skráargerðir innihalda hausaraðir sem gefa til kynna hvers konar skrá það er. Oftast eru MIME-gerðir réttar og það skiptir engu máli að þefa af skránni. Ef það er þó munur, munu vefþjónar nota sniffed filetype til að ákvarða hvernig eigi að meðhöndla skrána frekar en uppgefna MIME-gerð.
Vandamálið kemur upp ef árásarmaður tekst að hlaða upp skrá eins og PNG mynd, en skráin er í raun eitthvað annað eins og JavaScript kóða. Fyrir svipaðar skráargerðir, eins og tvær textagerðir, gæti þetta ekki valdið of miklum vandræðum. Það verður hins vegar alvarlegt mál ef hægt er að keyra fullkomlega saklausa skrá í staðinn.
Hvað gerir X-Content-Type-Options?
X-Content-Type-Options hausinn hefur aðeins eitt mögulegt gildi „X-Content-Type-Options: nosniff“. Með því að virkja það upplýsir vafra notandans um að hann megi ekki framkvæma MIME-gerð sniffing og treysta þess í stað á gagngert uppgefið gildi. Án þessarar stillingar, ef illgjarn JavaScript skrá var dulbúin sem mynd eins og PNG, þá væri JavaScript skráin keyrð. Með X-Content-Type-Options virkt verður farið með skrána sem mynd sem tekst ekki að hlaðast þar sem skráin er ekki gilt myndsnið.
X-Content-Type-Options er ekki sérstaklega nauðsynlegt á vefsíðu sem notar algjörlega auðlindir frá fyrsta aðila, þar sem engar líkur eru á að skaðleg skrá sé birt fyrir slysni. Ef vefsíða notar efni frá þriðja aðila eins og utanaðkomandi auðlindir eða auðlindir sem notendur hafa sent inn, þá veitir X-Content-Type-Options vernd gegn þessari tegund af árásum.
Chrome, sjálfgefið, sýnir þér ekki alla vefslóðina. Þér er kannski sama um þessi smáatriði, en ef þú þarft af einhverjum ástæðum að birta alla vefslóðina, nákvæmar leiðbeiningar um hvernig á að láta Google Chrome birta alla vefslóðina á veffangastikunni.
Reddit breytti hönnun sinni enn og aftur í janúar 2024. Endurhönnunin er hægt að sjá af notendum skjáborðsvafra og þrengir að aðalstraumnum á sama tíma og tenglar eru til staðar.
Að slá uppáhalds tilvitnunina þína úr bókinni þinni á Facebook er tímafrekt og fullt af villum. Lærðu hvernig á að nota Google Lens til að afrita texta úr bókum yfir í tækin þín.
Áminningar hafa alltaf verið aðal hápunktur Google Home. Þeir gera líf okkar örugglega auðveldara. Við skulum fara í stutta skoðunarferð um hvernig á að búa til áminningar á Google Home svo að þú missir aldrei af því að sinna mikilvægum erindum.
Stundum, þegar þú ert að vinna í Chrome, geturðu ekki fengið aðgang að ákveðnum vefsíðum og færð upp villuna „Laga DNS vistfang netþjóns fannst ekki í Chrome“. Hér er hvernig þú getur leyst málið.
Hvernig á að breyta lykilorðinu þínu á Netflix streymisvídeóþjónustunni með því að nota valinn vafra eða Android app.
Ef þú vilt losna við endurheimta síður skilaboðin á Microsoft Edge skaltu einfaldlega loka vafranum eða ýta á Escape takkann.
Djúptenging er vinsæl tilvísunartækni notenda. Lærðu um djúptengingar hér til að nota þær til að auka umferð á vefsíðuna þína eða app.
AR er næsta stóra hlutur internetsins fyrir skemmtun, vinnu eða viðskipti. Lærðu AR ský í smáatriðum til að verða upplýstur notandi.
Notaðu Microsoft Edge Drop og deildu skrám og skilaboðum auðveldlega á milli tækja með því að fylgja þessum byrjendavænu skrefum.
