Säkerhetsrubriker är en delmängd av HTTP-svarsrubriker som kan ställas in av en webbserver som var och en tillämpar en säkerhetskontroll i webbläsare. HTTP-rubriker är en form av metadata som skickas med webbförfrågningar och svar. Säkerhetshuvudet "X-Content-Type-Options" förhindrar webbläsare från att utföra MIME-sniffning.
Obs: HTTP-rubriker är inte exklusiva för HTTP och används även i HTTPS.
Vad är MIME-snuffning?
När någon data skickas över webben är en av de inkluderade metadatabitarna en MIME-typ. Multipurpose Internet Mail Extensions, eller MIME-typer är en standard som används för att definiera vilken typ av data en fil innehåller, vilket anger hur filen ska hanteras. Vanligtvis består MIME-typen av en typ och undertyp med en valfri parameter och ett värde. Till exempel skulle en UTF-8-textfil ha MIME-typen "text/plain;charset=UTF-8". I det exemplet är typen "text", undertypen är "plain", parametern är "charset" och värdet är "UTF-8".
För att förhindra felmärkning och felaktig hantering av filer utför webbservrar vanligtvis MIME-sniffning. Detta är en process där den uttryckligen angivna MIME-typen ignoreras, och istället analyseras filens början. De flesta filtyper inkluderar rubriksekvenser som indikerar vilken typ av fil det är. För det mesta är MIME-typer korrekta och att sniffa filen gör ingen skillnad. Om det dock finns en skillnad kommer webbservrar att använda den sniffade filtypen för att bestämma hur filen ska hanteras snarare än den deklarerade MIME-typen.
Problemet uppstår om en angripare lyckas ladda upp en fil som en PNG-bild, men filen är egentligen något annat som JavaScript-kod. För liknande filtyper, till exempel två texttyper, kanske detta inte orsakar alltför mycket problem. Det blir dock ett allvarligt problem om en helt ofarlig fil kan köras istället.
Vad gör X-Content-Type-Options?
Rubriken X-Content-Type-Options har bara ett möjligt värde "X-Content-Type-Options: nosniff". Aktivering av den informerar användarens webbläsare om att den inte får utföra sniffning av MIME-typ och istället förlita sig på det explicit deklarerade värdet. Utan den här inställningen, om en skadlig JavaScript-fil var förklädd som en bild som en PNG, skulle JavaScript-filen köras. Med X-Content-Type-Options aktiverat kommer filen att behandlas som en bild som inte kan laddas eftersom filen inte är ett giltigt bildformat.
X-Content-Type-Options är inte särskilt nödvändigt på en webbplats som helt använder förstapartsresurser, eftersom det inte finns någon chans att en skadlig fil av misstag visas. Om en webbplats använder innehåll från tredje part, såsom externa eller användarinlämnade resurser, ger X-Content-Type-Options skydd mot denna typ av attack.
Chrome, som standard, visar dig inte hela webbadressen. Du kanske inte bryr dig så mycket om denna detalj, men om du av någon anledning behöver den fullständiga webbadressen visas, detaljerade instruktioner om hur du får Google Chrome att visa hela webbadressen i adressfältet.
Reddit ändrade sin design ännu en gång i januari 2024. Omdesignen kan ses av datoranvändare och begränsar huvudflödet samtidigt som det tillhandahåller länkar
Att skriva ditt favoritcitat från din bok till Facebook är tidskrävande och fullt av fel. Lär dig hur du använder Google Lens för att kopiera text från böcker till dina enheter.
Påminnelser har alltid varit Google Homes stora höjdpunkt. De gör säkert vårt liv enklare. Låt oss ta en snabb rundtur om hur du skapar påminnelser på Google Home så att du aldrig missar att ta hand om viktiga ärenden.
Ibland, när du arbetar med Chrome, kan du inte komma åt vissa webbplatser och får felmeddelandet "Åtgärda serverns DNS-adress kunde inte hittas i Chrome". Så här kan du lösa problemet.
De säger att en persons hem är deras slott, men i Mojangs Minecraft kan du bygga ett slott som ditt hem. Oavsett om du bygger den i Nederländerna eller på ett berg, är de tjocka väggarna perfekta för att hålla folkmassor ute.
Läskvitton på Snapchat kan vara ett tveeggat svärd. Även om de ger feedback när ett meddelande har visats, kan de också skapa förväntningar och tryck på omedelbara svar.
När du skapar ett nytt Google Docs-dokument, tänker du på dess struktur i förväg. Vet du till exempel hur man lägger till sidor, en innehållsförteckning eller hur man numrerar sidorna.
Discord är en populär kommunikationsapp för spelare, men alla typer av människor använder den i stor utsträckning. Dess mest framträdande funktion är röstchatt, men du kan också skicka textmeddelanden, bilder och olika filer till individer eller hela samhällen.
Snapchat Streak eller Snapstreak är antalet dagar i följd du har bytt Snaps med din Snapchat-vän. Det visas bredvid vännernas namn i form av brand-emoji och ett nummer som representerar antalet dagar du höll kontakten via Snapchat-appen.
