一尘不染

什么是“ X-Content-Type-Options = nosniff”?

html

我正在使用OWASP ZAP在我的本地主机上进行一些渗透测试,并且不断报告此消息:

Anti-MIME-Sniffing标头X-Content-Type-Options未设置为’nosniff’

此检查特定于Internet Explorer 8和Google Chrome。如果Content- Type标头未知,请确保每个页面都设置了Content-Type标头和X-CONTENT-TYPE-OPTIONS

我不知道这意味着什么,也无法在网上找到任何东西。我尝试添加:

<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />

但我仍然收到警报。

设置参数的正确方法是什么?


阅读 2380

收藏
2020-05-10

共1个答案

一尘不染

它阻止浏览器进行MIME类型的嗅探。现在,大多数浏览器都在使用此标头,包括Chrome / Chromium,Edge,IE> = 8.0,Firefox>= 50和Opera> =13。请参阅:

发送带有值nosniff的新X-Content-Type-Options响应标头将阻止Internet
Explorer进行MIME嗅探已声明的内容类型的响应。

编辑:

哦,那是HTTP标头,而不是HTML元标记选项。

2020-05-10