Заголовки безпеки — це підмножина заголовків відповіді HTTP, які можуть бути встановлені веб-сервером, кожен із яких застосовує контроль безпеки у браузерах. Заголовки HTTP – це форма метаданих, що надсилаються з веб-запитами та відповідями. Заголовок безпеки «X-Content-Type-Options» забороняє браузерам виконувати перевірку MIME.
Примітка: заголовки HTTP не є винятковими для HTTP і також використовуються в HTTPS.
Що таке MIME sniffing?
Коли будь-які дані надсилаються через Інтернет, одна з частин метаданих є типом MIME. Багатоцільові розширення Інтернет-пошти або типи MIME — це стандарт, який використовується для визначення типу даних, які містить файл, що вказує, як файл повинен оброблятися. Як правило, MIME-тип складається з типу і підтипу з необов'язковим параметром і значенням. Наприклад, текстовий файл UTF-8 матиме тип MIME «text/plain;charset=UTF-8». У цьому прикладі тип — «текст», підтип — «звичайний», параметр — «набір символів», а значення — «UTF-8».
Щоб запобігти неправильному позначенню та обробці файлів, веб-сервери зазвичай виконують перевірку MIME. Це процес, коли явно зазначений MIME-тип ігнорується, а замість цього аналізується початок файлу. Більшість типів файлів містять послідовності заголовків, які вказують на тип файлу. У більшості випадків типи MIME є правильними, і нюхання файлу не має значення. Якщо є різниця, веб-сервери використовуватимуть тип файлу sniffed, щоб визначити, як обробляти файл, а не оголошений тип MIME.
Проблема виникає, якщо зловмиснику вдається завантажити файл, наприклад зображення PNG, але насправді цей файл є чимось іншим, як код JavaScript. Для подібних типів файлів, наприклад двох типів тексту, це може не викликати особливих проблем. Однак це стає серйозною проблемою, якщо замість цього можна запустити абсолютно нешкідливий файл.
Що робить X-Content-Type-Options?
Заголовок X-Content-Type-Options має лише одне можливе значення «X-Content-Type-Options: nosniff». Увімкнення його інформує браузер користувача, що він не повинен виконувати перевірку типу MIME, а покладатися на явно оголошене значення. Без цього параметра, якщо шкідливий файл JavaScript був замаскований під зображення, наприклад PNG, файл JavaScript буде виконано. Якщо увімкнено опції X-Content-Type-Options, файл буде розглядатися як зображення, яке не завантажується, оскільки файл не є дійсним форматом зображення.
X-Content-Type-Options не є особливо потрібним на веб-сайті, який використовує виключно сторонні ресурси, оскільки немає шансів випадкового обслуговування шкідливого файлу. Якщо веб-сайт використовує сторонній вміст, наприклад зовнішні ресурси або ресурси, подані користувачами, X-Content-Type-Options забезпечує захист від цього типу атаки.
Змініть швидкість будь-якого відео на Android безкоштовно за допомогою цього корисного додатка. Додайте ефект уповільненого та прискореного відтворення до одного й того ж відео.
Розважайтеся на своїх зустрічах у Zoom за допомогою кількох кумедних фільтрів, які ви можете спробувати. Додайте ореол або виглядайте як єдиноріг на своїх зустрічах у Zoom за допомогою цих кумедних фільтрів.
Немає стовідсотково надійного способу перевірити, чи хтось справді онлайн у Facebook, коли здається, що він офлайн.
Якщо вам не подобається ідея того, що всі користувачі Facebook можуть бачити фотографії, на яких вас позначено, ви можете приховати їх у своїй стрічці. Ви можете налаштувати це.
Щоб отримувати сповіщення, коли хтось публікує щось у Facebook, перейдіть у налаштування та ввімкніть сповіщення. Потім додайте цю людину до списку близьких друзів.
Пошук потрібної картки для оплати в кишені чи гаманці може бути справжньою проблемою. Протягом останніх кількох років різні компанії...
Samsung Galaxy Z Fold 5, завдяки своєму інноваційному складаному дизайну та передовим технологіям, пропонує різні способи підключення до ПК. Незалежно від того, чи ви
Google Meet – чудова альтернатива іншим додаткам для відеоконференцій, таким як Zoom. Він може не мати тих самих функцій, але ви все одно можете використовувати інші. Ви можете розпочати сеанс Google Meet безпосередньо зі сторінки Gmail. Дізнайтеся, як це зробити, виконавши ці кроки.
Дізнайтеся, як можна визначити певний колір за допомогою вбудованого інструменту у Firefox без використання стороннього програмного забезпечення.
Веб-версія WhatsApp не працює? Не хвилюйтеся. Ось кілька корисних порад, які ви можете спробувати, щоб WhatsApp знову запрацював.
