Säkerhetsrubriker är en delmängd av HTTP-svarsrubriker som kan ställas in av en webbserver som var och en tillämpar en säkerhetskontroll i webbläsare. HTTP-rubriker är en form av metadata som skickas med webbförfrågningar och svar. Säkerhetshuvudet "X-Content-Type-Options" förhindrar webbläsare från att utföra MIME-sniffning.
Obs: HTTP-rubriker är inte exklusiva för HTTP och används även i HTTPS.
Vad är MIME-snuffning?
När någon data skickas över webben är en av de inkluderade metadatabitarna en MIME-typ. Multipurpose Internet Mail Extensions, eller MIME-typer är en standard som används för att definiera vilken typ av data en fil innehåller, vilket anger hur filen ska hanteras. Vanligtvis består MIME-typen av en typ och undertyp med en valfri parameter och ett värde. Till exempel skulle en UTF-8-textfil ha MIME-typen "text/plain;charset=UTF-8". I det exemplet är typen "text", undertypen är "plain", parametern är "charset" och värdet är "UTF-8".
För att förhindra felmärkning och felaktig hantering av filer utför webbservrar vanligtvis MIME-sniffning. Detta är en process där den uttryckligen angivna MIME-typen ignoreras, och istället analyseras filens början. De flesta filtyper inkluderar rubriksekvenser som indikerar vilken typ av fil det är. För det mesta är MIME-typer korrekta och att sniffa filen gör ingen skillnad. Om det dock finns en skillnad kommer webbservrar att använda den sniffade filtypen för att bestämma hur filen ska hanteras snarare än den deklarerade MIME-typen.
Problemet uppstår om en angripare lyckas ladda upp en fil som en PNG-bild, men filen är egentligen något annat som JavaScript-kod. För liknande filtyper, till exempel två texttyper, kanske detta inte orsakar alltför mycket problem. Det blir dock ett allvarligt problem om en helt ofarlig fil kan köras istället.
Vad gör X-Content-Type-Options?
Rubriken X-Content-Type-Options har bara ett möjligt värde "X-Content-Type-Options: nosniff". Aktivering av den informerar användarens webbläsare om att den inte får utföra sniffning av MIME-typ och istället förlita sig på det explicit deklarerade värdet. Utan den här inställningen, om en skadlig JavaScript-fil var förklädd som en bild som en PNG, skulle JavaScript-filen köras. Med X-Content-Type-Options aktiverat kommer filen att behandlas som en bild som inte kan laddas eftersom filen inte är ett giltigt bildformat.
X-Content-Type-Options är inte särskilt nödvändigt på en webbplats som helt använder förstapartsresurser, eftersom det inte finns någon chans att en skadlig fil av misstag visas. Om en webbplats använder innehåll från tredje part, såsom externa eller användarinlämnade resurser, ger X-Content-Type-Options skydd mot denna typ av attack.
Trött på att synkroniseringskonflikt med flera profiler i Microsoft Edge förstör din surfning? Upptäck steg-för-steg-lösningar för att lösa synkroniseringsfel, sammanfoga profiler och synkronisera sömlöst mellan enheter. Fungerar på de senaste Edge-versionerna!
Trött på att felet "Pausad synkronisering i Microsoft Edge"-kontot avbryter din surfning? Upptäck snabba och effektiva felsökningssteg för att återställa sömlös synkronisering mellan enheter. Uppdaterad med de senaste korrigeringarna för en problemfri Edge-upplevelse.
Åtgärda det frustrerande felet "Okänd skiva" för bakåtkompatibla spel på Xbox Series X|S. Följ våra beprövade steg-för-steg-åtgärder för att återställa ditt klassiska spelbibliotek direkt.
Har du problem med återställningsfelet för PIN-koden i Microsoft Edge Windows Hello? Upptäck steg-för-steg-lösningar för att lösa det snabbt. Få åtkomst till din webbläsare utan frustration – uppdaterad med de senaste Windows-uppdateringarna.
Har du problem med en tom vit skärm i Microsoft Edge vid uppstart? Upptäck steg-för-steg-lösningar för problemet med den tomma vita skärmen i Edge, från snabba återställningar till avancerade reparationer. Kom tillbaka till surfandet smidigt!
Steg-för-steg-guide om hur du säkerhetskopierar Microsoft Edge-data som bokmärken, lösenord, historik och inställningar innan en systemåterställning. Skydda dina surfrelaterade viktiga saker med enkla och pålitliga metoder.
Fast med felet "Microsoft Edge Capture Card No Signal 60FPS"? Upptäck beprövade lösningar för att återställa signalen, nå 60FPS smidigt och streama utan lagg. Steg-för-steg-guide för omedelbara resultat!
Trött på det frustrerande konfigurationsfelet i Microsoft Edge Side-by-Side? Upptäck enkla steg-för-steg-lösningar för att snabbt lösa det och återställa smidig surfning. Uppdaterad med de senaste lösningarna!
Fastnar du med Microsoft Edge Installer-fel 124? Få steg-för-steg-åtgärder för att snabbt lösa installationsfel. Beprövade lösningar för smidig Edge-installation på Windows. Inga tekniska kunskaper krävs!
Trött på att Microsoft Edge Installer-fel 124 blockerar din Windows 11-installation? Följ våra beprövade, enkla lösningar för att lösa det snabbt och återställa smidig surfning. Ingen teknisk expertis behövs!
