我正在用OWASP ZAP在我的本地主机上做一些渗透测试,它不断报告这样的消息:
反MIME-嗅探标头X-Content-Type-Options未设置为“nosniff”
此检查针对Internet Explorer 8和Google Chrome。确保每个页面都设置一个Content-Type头,如果Content-Type头未知,则设置X-CONTENT-TYPE-OPTIONS
我不知道这意味着什么,我在网上也找不到任何东西。我尝试添加:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
但我还是得到了警报。
参数的正确设置方式是什么?
它防止浏览器执行MIME类型的嗅探。现在大多数浏览器都尊重这个头,包括Chrome/Chromium、Edge、IE>=8.0、Firefox>=50和Opera>=13。参见:
https://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx?redirected=true
发送具有nosniff值的新X-Content-Type-Options响应标头将阻止Internet Explorer从声明的content-type中MIME嗅探响应。
编辑:
哦,那是HTTP头,不是HTML元标记选项。
另请参阅:http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85).aspx
