Nagłówki zabezpieczeń są podzbiorem nagłówków odpowiedzi HTTP, które mogą być ustawiane przez serwer sieciowy, z którego każdy stosuje kontrolę zabezpieczeń w przeglądarkach. Nagłówki HTTP to forma metadanych wysyłanych wraz z żądaniami i odpowiedziami internetowymi. Nagłówek zabezpieczeń „X-Content-Type-Options” uniemożliwia przeglądarkom wykonywanie sniffingu MIME.
Uwaga: nagłówki HTTP nie są wyłączne dla HTTP i są również używane w HTTPS.
Co to jest wąchanie MIME?
Gdy jakiekolwiek dane są przesyłane przez Internet, jednym z dołączonych fragmentów metadanych jest typ MIME. Wielozadaniowe rozszerzenia poczty internetowej lub typy MIME to standard używany do definiowania typu danych zawartych w pliku, który wskazuje, jak plik powinien być traktowany. Zazwyczaj typ MIME składa się z typu i podtypu z opcjonalnym parametrem i wartością. Na przykład plik tekstowy UTF-8 miałby typ MIME „text/plain;charset=UTF-8”. W tym przykładzie typ to „text”, podtyp to „plain”, parametr to „charset”, a wartość to „UTF-8”.
Aby zapobiec błędnemu etykietowaniu i niewłaściwej obsłudze plików, serwery internetowe zazwyczaj wykonują sniffowanie MIME. Jest to proces, w którym wyraźnie określony typ MIME jest ignorowany, a zamiast tego analizowany jest początek pliku. Większość typów plików zawiera sekwencje nagłówków, które wskazują, jaki to typ pliku. W większości przypadków typy MIME są poprawne, a sniffowanie pliku nie ma znaczenia. Jeśli jednak istnieje różnica, serwery WWW użyją wykrytego typu pliku, aby określić, jak obsłużyć plik, a nie zadeklarowanego typu MIME.
Problem pojawia się, gdy atakującemu uda się przesłać plik, taki jak obraz PNG, ale plik jest w rzeczywistości czymś innym, jak kod JavaScript. W przypadku podobnych typów plików, takich jak dwa typy tekstu, może to nie powodować większego problemu. Staje się jednak poważnym problemem, jeśli zamiast tego można wykonać całkowicie nieszkodliwy plik.
Co robią X-Content-Type-Options?
Nagłówek X-Content-Type-Options ma tylko jedną możliwą wartość „X-Content-Type-Options: nosniff”. Włączenie tego informuje przeglądarkę użytkownika, że nie może ona wykonywać sniffingu typu MIME i zamiast tego polegać na jawnie zadeklarowanej wartości. Bez tego ustawienia, jeśli złośliwy plik JavaScript zostałby zamaskowany jako obraz, taki jak PNG, plik JavaScript zostałby wykonany. Po włączeniu opcji X-Content-Type-Options plik będzie traktowany jako obraz, którego nie można załadować, ponieważ plik nie ma prawidłowego formatu obrazu.
X-Content-Type-Options nie jest szczególnie potrzebne w witrynie internetowej, która korzysta wyłącznie z zasobów własnych, ponieważ nie ma szans na przypadkowe udostępnienie złośliwego pliku. Jeśli witryna korzysta z treści stron trzecich, takich jak zasoby zewnętrzne lub przesłane przez użytkowników, X-Content-Type-Options zapewnia ochronę przed tego typu atakami.
Chrome domyślnie nie wyświetla pełnego adresu URL. Być może nie przejmujesz się zbytnio tym szczegółem, ale jeśli z jakiegoś powodu potrzebujesz wyświetlenia pełnego adresu URL, szczegółowe instrukcje dotyczące tego, jak sprawić, by przeglądarka Google Chrome wyświetlała pełny adres URL w pasku adresu.
Reddit ponownie zmienił swój wygląd w styczniu 2024 r. Przeprojektowanie może być widoczne dla użytkowników przeglądarek na komputerach stacjonarnych i zawęża główny kanał podczas udostępniania linków
Wpisywanie ulubionego cytatu z książki na Facebooku jest czasochłonne i pełne błędów. Dowiedz się, jak używać Obiektywu Google do kopiowania tekstu z książek na urządzenia.
Czasami podczas pracy w przeglądarce Chrome nie można uzyskać dostępu do niektórych witryn internetowych i pojawia się komunikat o błędzie „Nie można znaleźć adresu DNS serwera napraw w przeglądarce Chrome”. Oto jak możesz rozwiązać ten problem.
Przypomnienia zawsze były główną atrakcją Google Home. Z pewnością ułatwiają nam życie. Obejrzyjmy szybko, jak tworzyć przypomnienia w Google Home, aby nigdy nie przegapić ważnych spraw.
Jak zmienić hasło do usługi strumieniowego przesyłania wideo Netflix za pomocą preferowanej przeglądarki lub aplikacji na Androida.
Jeśli chcesz pozbyć się komunikatu Przywróć strony w Microsoft Edge, po prostu zamknij przeglądarkę lub naciśnij klawisz Escape.
I like to keep my neighbors entertained by changing my Wi-Fi network to different funny names. If youre looking for ideas for a funny Wi-Fi name, here
Uwierzytelnianie to proces weryfikacji tożsamości. Zwykle odbywa się to za pomocą czegoś, co znasz. Czytaj dalej, aby dowiedzieć się więcej.
Zobacz, jak łatwo można tworzyć dowolne playlisty i jak łatwo je edytować w YouTube Music. Oto kroki, które należy wykonać.
