Säkerhetsrubriker är en delmängd av HTTP-svarsrubriker som kan ställas in av en webbserver som var och en tillämpar en säkerhetskontroll i webbläsare. HTTP-rubriker är en form av metadata som skickas med webbförfrågningar och svar. Säkerhetshuvudet "X-Content-Type-Options" förhindrar webbläsare från att utföra MIME-sniffning.
Obs: HTTP-rubriker är inte exklusiva för HTTP och används även i HTTPS.
Vad är MIME-snuffning?
När någon data skickas över webben är en av de inkluderade metadatabitarna en MIME-typ. Multipurpose Internet Mail Extensions, eller MIME-typer är en standard som används för att definiera vilken typ av data en fil innehåller, vilket anger hur filen ska hanteras. Vanligtvis består MIME-typen av en typ och undertyp med en valfri parameter och ett värde. Till exempel skulle en UTF-8-textfil ha MIME-typen "text/plain;charset=UTF-8". I det exemplet är typen "text", undertypen är "plain", parametern är "charset" och värdet är "UTF-8".
För att förhindra felmärkning och felaktig hantering av filer utför webbservrar vanligtvis MIME-sniffning. Detta är en process där den uttryckligen angivna MIME-typen ignoreras, och istället analyseras filens början. De flesta filtyper inkluderar rubriksekvenser som indikerar vilken typ av fil det är. För det mesta är MIME-typer korrekta och att sniffa filen gör ingen skillnad. Om det dock finns en skillnad kommer webbservrar att använda den sniffade filtypen för att bestämma hur filen ska hanteras snarare än den deklarerade MIME-typen.
Problemet uppstår om en angripare lyckas ladda upp en fil som en PNG-bild, men filen är egentligen något annat som JavaScript-kod. För liknande filtyper, till exempel två texttyper, kanske detta inte orsakar alltför mycket problem. Det blir dock ett allvarligt problem om en helt ofarlig fil kan köras istället.
Vad gör X-Content-Type-Options?
Rubriken X-Content-Type-Options har bara ett möjligt värde "X-Content-Type-Options: nosniff". Aktivering av den informerar användarens webbläsare om att den inte får utföra sniffning av MIME-typ och istället förlita sig på det explicit deklarerade värdet. Utan den här inställningen, om en skadlig JavaScript-fil var förklädd som en bild som en PNG, skulle JavaScript-filen köras. Med X-Content-Type-Options aktiverat kommer filen att behandlas som en bild som inte kan laddas eftersom filen inte är ett giltigt bildformat.
X-Content-Type-Options är inte särskilt nödvändigt på en webbplats som helt använder förstapartsresurser, eftersom det inte finns någon chans att en skadlig fil av misstag visas. Om en webbplats använder innehåll från tredje part, såsom externa eller användarinlämnade resurser, ger X-Content-Type-Options skydd mot denna typ av attack.
Annonser kan vara användbara eftersom de informerar dig om erbjudanden och tjänster du kan behöva. Men de kan bli ohanterliga och bli irriterande. Det är då du vänder dig till annonsblockerare. Lär dig hur du konfigurerar Ad-Blocker i Opera för Android med dessa steg.
Lär dig hur man markerar eller framhäver viss text i dina Google Docs-dokument med hjälp av dessa steg för din dator, smartphone eller surfplatta.
Webbläsaren Google Chrome erbjuder ett sätt för dig att ändra de typsnitt den använder. Lär dig hur du ställer in typsnittet på det du vill.
Lär dig hur du markerar text med färg i Google Slides-appen med denna steg-för-steg-guide för mobil och dator.
Se hur du kan identifiera en specifik färg med ett integrerat verktyg i Firefox utan att använda tredjepartsprogram.
Du kan hitta flera tillägg för Gmail för att göra din hantering av e-post mer produktiv. Här är de bästa Gmail Chrome-tilläggen.
Se hur enkelt det är att lägga till ett ord eller ett annat språk i Firefox stavningskontroll. Se också hur du kan stänga av stavningskontroll för webbläsaren.
Se vilka steg du ska följa för att snabbt stänga av Google Assistant. Känn dig mindre övervakad och inaktivera Google Assistant.
Dina Facebook-vänner kan se alla kommentarer du skriver på offentliga inlägg. Facebook-kommentarer har inga individuella sekretessinställningar.
Att veta hur du ändrar Facebooks integritetsinställningar på en telefon eller tablet gör det enklare att hantera ditt konto.
