Hlavičky zabezpečenia sú podmnožinou hlavičiek odpovede HTTP, ktoré môže nastaviť webový server, pričom každá z nich aplikuje kontrolu zabezpečenia v prehliadačoch. Hlavičky HTTP sú formou metadát odosielaných s webovými požiadavkami a odpoveďami. Bezpečnostná hlavička „X-Content-Type-Options“ bráni prehliadačom vykonávať MIME sniffing.
Poznámka: Hlavičky HTTP nie sú exkluzívne pre HTTP a používajú sa aj v HTTPS.
Čo je to MIME sniffing?
Keď sa akékoľvek údaje odosielajú cez web, jednou zo zahrnutých častí metadát je typ MIME. Multipurpose Internet Mail Extensions alebo typy MIME sú štandardom používaným na definovanie typu údajov, ktoré súbor obsahuje, čo naznačuje, ako sa má so súborom zaobchádzať. Typ MIME sa zvyčajne skladá z typu a podtypu s voliteľným parametrom a hodnotou. Napríklad textový súbor UTF-8 bude mať typ MIME „text/plain;charset=UTF-8“. V tomto príklade je typ „text“, podtyp je „plain“, parameter je „charset“ a hodnota je „UTF-8“.
Aby sa predišlo nesprávnemu označovaniu a nesprávnemu zaobchádzaniu so súbormi, webové servery zvyčajne vykonávajú sniffovanie MIME. Toto je proces, pri ktorom sa ignoruje explicitne uvedený typ MIME a namiesto toho sa analyzuje začiatok súboru. Väčšina typov súborov obsahuje sekvencie hlavičiek, ktoré označujú, o aký typ súboru ide. Typy MIME sú väčšinou správne a snimanie súboru na tom nezáleží. Ak však existuje rozdiel, webové servery použijú typ súboru sniffed na určenie spôsobu spracovania súboru, a nie deklarovaný typ MIME.
Problém nastane, ak sa útočníkovi podarí nahrať súbor, napríklad obrázok PNG, ale súbor je v skutočnosti niečo iné, ako kód JavaScript. Pri podobných typoch súborov, ako sú dva typy textu, to nemusí spôsobovať príliš veľké problémy. To sa však stáva vážnym problémom, ak je možné namiesto toho spustiť úplne neškodný súbor.
Čo robí X-Content-Type-Options?
Hlavička X-Content-Type-Options má iba jednu možnú hodnotu „X-Content-Type-Options: nosniff“. Povolenie informuje prehliadač používateľa, že nesmie vykonávať sniffovanie typu MIME a namiesto toho sa spoliehať na explicitne deklarovanú hodnotu. Ak by bez tohto nastavenia bol škodlivý súbor JavaScript zamaskovaný ako obrázok, napríklad PNG, súbor JavaScript by sa spustil. Ak sú povolené možnosti X-Content-Type-Options, so súborom sa bude zaobchádzať ako s obrázkom, ktorý sa nenačíta, pretože súbor nie je platným formátom obrázka.
X-Content-Type-Options nie je obzvlášť potrebné na webovej lokalite, ktorá využíva výlučne zdroje prvej strany, pretože neexistuje žiadna šanca, že by bol náhodne doručený škodlivý súbor. Ak webová lokalita používa obsah tretích strán, ako sú externé zdroje alebo zdroje zaslané používateľom, potom X-Content-Type-Options poskytuje ochranu pred týmto typom útoku.
Zábavte sa na svojich Zoom stretnutiach so šialenými filtrami, ktoré môžete vyskúšať. Pridajte si halo alebo vyzerajte ako jednorožec na svojich Zoom stretnutiach s týmito vtipnými filtrami.
Zistenie, ako preniesť Microsoft Office na váš nový počítač, je nevyhnutné pre udržanie produktivity. Tu je návod, ako to urobiť.
Pri počutí slov cookies si možno pomyslíte na tie s čokoládovými lupienkami. Existujú však aj tie, ktoré nájdete v prehliadačoch a ktoré vám pomáhajú mať bezproblémový zážitok z prehliadania. Prečítajte si, ako nastaviť preferencie cookies v prehliadači Opera pre Android.
Ak nemáte fotografickú pamäť, potrebujete pridať údaje o kreditnej karte na automatické vyplnenie v Edge pre Android. Môžete uložiť všetky informácie o vašich kreditných kartách, aby ste urýchlili online platby pridaním údajov o kreditnej karte do funkcie automatického vyplnenia v Edge pre Android podľa týchto krokov.
Naučte sa urýchliť čas, ktorý strávite prácou na súboroch PowerPoint, naučením sa týchto dôležitých klávesových skratiek PowerPoint.
Zmena nastavení hlasu pre aplikáciu Waze vám umožní počuť iný hlas zakaždým, keď potrebujete cestovať. Tu je návod, ako to zmeniť.
Zistite, aké kroky treba dodržať, aby ste rýchlo vypnuli Google Assistant a získali trochu pokoja. Cítite sa menej špehovaní a deaktivujte Google Assistant.
Mnoho spravodajských článkov sa odvoláva na “temný web”, ale veľmi málo z nich skutočne hovorí o tom, ako na neho získať prístup. Väčšina stránok na temnom webe hostí nelegálny obsah.
Objavte, ako môžete jednoducho a rýchlo aktivovať tmavý režim pre Skype na vašom počítači s Windows 11 za menej ako jednu minútu.
Možno tomu neprikladajte veľkú váhu, ale jednou z najbežnejších funkcií smartfónu je možnosť zachytiť snímku obrazovky. S časom sa metódy na snímanie týchto snímok vyvinuli z rôznych dôvodov, či už ide o pridanie alebo odstránenie fyzických tlačidiel alebo zavedenie nových softvérových funkcií.
