Os cabeçalhos de segurança são um subconjunto de cabeçalhos de resposta HTTP que podem ser definidos por um servidor da web em que cada um aplica um controle de segurança nos navegadores. Os cabeçalhos HTTP são uma forma de metadados enviados com solicitações e respostas da web. O cabeçalho de segurança “X-Content-Type-Options” impede que os navegadores façam a detecção de MIME.
Observação: os cabeçalhos HTTP não são exclusivos do HTTP e também são usados em HTTPS.
O que é MIME sniffing?
Quando qualquer dado é enviado pela web, uma das partes dos metadados incluídos é um tipo MIME. Multipurpose Internet Mail Extensions, ou MIME types, são um padrão usado para definir o tipo de dados que um arquivo contém, o que indica como o arquivo deve ser tratado. Normalmente, o tipo MIME consiste em um tipo e subtipo com um parâmetro e valor opcionais. Por exemplo, um arquivo de texto UTF-8 teria o tipo MIME “text / plain; charset = UTF-8”. Nesse exemplo, o tipo é “text”, o subtipo é “plain”, o parâmetro é “charset” e o valor é “UTF-8”.
Para evitar a rotulagem incorreta e o manuseio incorreto de arquivos, os servidores da Web normalmente executam a detecção de MIME. Este é um processo em que o tipo MIME declarado explicitamente é ignorado e, em vez disso, o início do arquivo é analisado. A maioria dos tipos de arquivos inclui sequências de cabeçalho que indicam o tipo de arquivo. Na maioria das vezes, os tipos MIME estão corretos e farejar o arquivo não faz diferença. Porém, se houver uma diferença, os servidores da web usarão o tipo de arquivo detectado para determinar como lidar com o arquivo em vez do tipo MIME declarado.
O problema ocorre se um invasor consegue fazer upload de um arquivo como uma imagem PNG, mas o arquivo é realmente algo diferente, como o código JavaScript. Para tipos de arquivos semelhantes, como dois tipos de texto, isso pode não causar muitos problemas. Torna-se um problema sério, no entanto, se um arquivo perfeitamente inócuo puder ser executado em seu lugar.
O que X-Content-Type-Options faz?
O cabeçalho X-Content-Type-Options tem apenas um valor possível “X-Content-Type-Options: nosniff”. Ativá-lo informa ao navegador do usuário que ele não deve executar a detecção do tipo MIME e, em vez disso, confiar no valor declarado explicitamente. Sem essa configuração, se um arquivo JavaScript malicioso fosse disfarçado como uma imagem, como PNG, o arquivo JavaScript seria executado. Com X-Content-Type-Options habilitado, o arquivo será tratado como uma imagem que falha ao carregar, pois o arquivo não é um formato de imagem válido.
X-Content-Type-Options não é particularmente necessário em um site que usa recursos inteiramente próprios, pois não há chance de um arquivo malicioso ser servido acidentalmente. Se um site usa conteúdo de terceiros, como recursos externos ou enviados pelo usuário, o X-Content-Type-Options fornece proteção contra esse tipo de ataque.
O Chrome, por padrão, não mostra o URL completo. Você pode não se importar muito com esse detalhe, mas se por algum motivo precisar que o URL completo seja exibido, instruções detalhadas sobre como fazer o Google Chrome exibir o URL completo na barra de endereço.
O Reddit mudou seu design mais uma vez em janeiro de 2024. O redesenho pode ser visto por usuários de navegadores de desktop e restringe o feed principal ao mesmo tempo que fornece links
Digitar sua frase favorita do seu livro no Facebook é demorado e cheio de erros. Aprenda a usar o Google Lens para copiar texto de livros para seus dispositivos.
Às vezes, quando você está trabalhando no Chrome, você não consegue acessar determinados sites e recebe um erro “O endereço DNS do servidor de correção não foi encontrado no Chrome”. Veja como você pode resolver o problema.
Os lembretes sempre foram o grande destaque do Google Home. Eles certamente tornam nossa vida mais fácil. Vamos fazer um tour rápido sobre como criar lembretes no Google Home para que você nunca deixe de cuidar de tarefas importantes.
Como alterar sua senha no serviço de streaming de vídeo Netflix usando seu navegador preferido ou aplicativo Android.
Se você quiser se livrar da mensagem Restaurar páginas no Microsoft Edge, simplesmente feche o navegador ou pressione a tecla Escape.
Se a dica de senha do Bitwarden puder ser melhorada, estas são as etapas para alterá-la em menos de um minuto.
Se suas imagens não aparecerem em um Documento Google, o problema pode ocorrer por vários motivos. Aqui estão algumas soluções potenciais
Domine o aplicativo Planilhas Google aprendendo como ocultar e exibir colunas. Você pode fazer isso em computadores e dispositivos móveis.
