Beveiligingsheaders zijn een subset van HTTP-responsheaders die kunnen worden ingesteld door een webserver die elk een beveiligingscontrole in browsers toepast. HTTP-headers zijn een vorm van metadata die wordt verzonden met webverzoeken en -reacties. De beveiligingsheader "X-Content-Type-Options" voorkomt dat browsers MIME-sniffing uitvoeren.
Opmerking: HTTP-headers zijn niet exclusief voor HTTP en worden ook gebruikt in HTTPS.
Wat is MIME aan het snuiven?
Wanneer gegevens via internet worden verzonden, is een van de meegeleverde metagegevens een MIME-type. Multipurpose Internet Mail Extensions, of MIME-typen, zijn een standaard die wordt gebruikt om het type gegevens te definiëren dat een bestand bevat, wat aangeeft hoe het bestand moet worden behandeld. Meestal bestaat het MIME-type uit een type en subtype met een optionele parameter en waarde. Een UTF-8-tekstbestand zou bijvoorbeeld het MIME-type "text/plain;charset=UTF-8" hebben. In dat voorbeeld is het type “tekst”, het subtype is “plain”, de parameter is “charset” en de waarde is “UTF-8”.
Om het verkeerd labelen en verkeerd behandelen van bestanden te voorkomen, voeren webservers doorgaans MIME-sniffing uit. Dit is een proces waarbij het expliciet vermelde MIME-type wordt genegeerd en in plaats daarvan het begin van het bestand wordt geanalyseerd. De meeste bestandstypen bevatten kopreeksen die aangeven om welk type bestand het gaat. Meestal zijn MIME-typen correct en maakt het snuiven van het bestand geen verschil. Als er echter een verschil is, zullen webservers het gesnuffelde bestandstype gebruiken om te bepalen hoe het bestand moet worden behandeld in plaats van het gedeclareerde MIME-type.
Het probleem doet zich voor als een aanvaller erin slaagt een bestand, zoals een PNG-afbeelding, te uploaden, maar het bestand in werkelijkheid iets anders is, zoals JavaScript-code. Voor vergelijkbare bestandstypen, zoals twee teksttypen, kan dit niet al te veel problemen opleveren. Het wordt echter een serieus probleem als in plaats daarvan een volkomen onschadelijk bestand kan worden uitgevoerd.
Wat doet X-Content-Type-Options?
De header X-Content-Type-Options heeft slechts één mogelijke waarde "X-Content-Type-Options: nosniff". Als u het inschakelt, wordt de browser van de gebruiker geïnformeerd dat het geen MIME-type sniffing mag uitvoeren en in plaats daarvan moet vertrouwen op de expliciet gedeclareerde waarde. Zonder deze instelling, als een kwaadaardig JavaScript-bestand was vermomd als een afbeelding, zoals een PNG, zou het JavaScript-bestand worden uitgevoerd. Als X-Content-Type-Options is ingeschakeld, wordt het bestand behandeld als een afbeelding die niet kan worden geladen omdat het bestand geen geldige afbeeldingsindeling heeft.
X-Content-Type-Options is niet echt nodig op een website die volledig gebruikmaakt van bronnen van de eerste hand, omdat er geen kans is dat een kwaadaardig bestand per ongeluk wordt aangeboden. Als een website inhoud van derden gebruikt, zoals externe of door gebruikers ingediende bronnen, biedt X-Content-Type-Options bescherming tegen dit type aanval.
Chrome toont standaard niet de volledige URL. Dit detail interesseert u misschien niet zoveel, maar als u om wat voor reden dan ook de volledige URL wilt weergeven, vindt u gedetailleerde instructies over hoe u Google Chrome de volledige URL in de adresbalk kunt laten weergeven.
Reddit veranderde hun ontwerp opnieuw in januari 2024. Het herontwerp is zichtbaar voor desktopbrowsergebruikers en vernauwt de hoofdfeed en biedt links
Het typen van je favoriete citaat uit je boek op Facebook kost tijd en zit vol met fouten. Ontdek hoe u Google Lens gebruikt om tekst uit boeken naar uw apparaten te kopiëren.
Soms, wanneer u in Chrome werkt, heeft u geen toegang tot bepaalde websites en krijgt u de foutmelding 'Fix Server DNS-adres kan niet worden gevonden in Chrome'. Hier ziet u hoe u het probleem kunt oplossen.
Herinneringen zijn altijd het belangrijkste hoogtepunt van Google Home geweest. Ze maken ons leven zeker gemakkelijker. Laten we een korte rondleiding geven over hoe u herinneringen kunt maken op Google Home, zodat u nooit belangrijke boodschappen hoeft te doen.
Hoe u uw wachtwoord op de Netflix-streamingvideoservice kunt wijzigen met uw favoriete browser of Android-app.
Als u het bericht Pagina's herstellen op Microsoft Edge wilt verwijderen, sluit u gewoon de browser of drukt u op de Escape-toets.
Als uw Bitwarden-wachtwoordhint verbeterd kan worden, zijn dit de stappen om deze in minder dan een minuut te wijzigen.
Als uw afbeeldingen niet in een Google-document worden weergegeven, kan het probleem verschillende redenen hebben. Hier zijn enkele mogelijke oplossingen
Beheers de toepassing Google Spreadsheets door te leren hoe u kolommen kunt verbergen en zichtbaar maken. U kunt dit doen op zowel computers als mobiele apparaten.
