O que X-Content-Type-Options faz?

Os cabeçalhos de segurança são um subconjunto de cabeçalhos de resposta HTTP que podem ser definidos por um servidor da web em que cada um aplica um controle de segurança nos navegadores. Os cabeçalhos HTTP são uma forma de metadados enviados com solicitações e respostas da web. O cabeçalho de segurança “X-Content-Type-Options” impede que os navegadores façam a detecção de MIME.

Observação: os cabeçalhos HTTP não são exclusivos do HTTP e também são usados ​​em HTTPS.

O que é MIME sniffing?

Quando qualquer dado é enviado pela web, uma das partes dos metadados incluídos é um tipo MIME. Multipurpose Internet Mail Extensions, ou MIME types, são um padrão usado para definir o tipo de dados que um arquivo contém, o que indica como o arquivo deve ser tratado. Normalmente, o tipo MIME consiste em um tipo e subtipo com um parâmetro e valor opcionais. Por exemplo, um arquivo de texto UTF-8 teria o tipo MIME “text / plain; charset = UTF-8”. Nesse exemplo, o tipo é “text”, o subtipo é “plain”, o parâmetro é “charset” e o valor é “UTF-8”.

Para evitar a rotulagem incorreta e o manuseio incorreto de arquivos, os servidores da Web normalmente executam a detecção de MIME. Este é um processo em que o tipo MIME declarado explicitamente é ignorado e, em vez disso, o início do arquivo é analisado. A maioria dos tipos de arquivos inclui sequências de cabeçalho que indicam o tipo de arquivo. Na maioria das vezes, os tipos MIME estão corretos e farejar o arquivo não faz diferença. Porém, se houver uma diferença, os servidores da web usarão o tipo de arquivo detectado para determinar como lidar com o arquivo em vez do tipo MIME declarado.

O problema ocorre se um invasor consegue fazer upload de um arquivo como uma imagem PNG, mas o arquivo é realmente algo diferente, como o código JavaScript. Para tipos de arquivos semelhantes, como dois tipos de texto, isso pode não causar muitos problemas. Torna-se um problema sério, no entanto, se um arquivo perfeitamente inócuo puder ser executado em seu lugar.

O que X-Content-Type-Options faz?                                                

O cabeçalho X-Content-Type-Options tem apenas um valor possível “X-Content-Type-Options: nosniff”. Ativá-lo informa ao navegador do usuário que ele não deve executar a detecção do tipo MIME e, em vez disso, confiar no valor declarado explicitamente. Sem essa configuração, se um arquivo JavaScript malicioso fosse disfarçado como uma imagem, como PNG, o arquivo JavaScript seria executado. Com X-Content-Type-Options habilitado, o arquivo será tratado como uma imagem que falha ao carregar, pois o arquivo não é um formato de imagem válido.

X-Content-Type-Options não é particularmente necessário em um site que usa recursos inteiramente próprios, pois não há chance de um arquivo malicioso ser servido acidentalmente. Se um site usa conteúdo de terceiros, como recursos externos ou enviados pelo usuário, o X-Content-Type-Options fornece proteção contra esse tipo de ataque.



Leave a Comment

Como Remover Informações Salvas do Autofill do Firefox

Como Remover Informações Salvas do Autofill do Firefox

Remova informações salvas do Autofill do Firefox seguindo estes passos rápidos e simples para dispositivos Windows e Android.

Como Fazer Soft e Hard Reset no iPod Shuffle

Como Fazer Soft e Hard Reset no iPod Shuffle

Neste tutorial, mostramos como executar um soft reset ou hard reset no Apple iPod Shuffle.

Como Gerenciar suas Assinaturas do Google Play no Android

Como Gerenciar suas Assinaturas do Google Play no Android

Existem muitos aplicativos incríveis no Google Play que você não pode deixar de assinar. Após um tempo, essa lista cresce e você precisará gerenciar suas assinaturas do Google Play.

Como Usar o Samsung Pay Com o Galaxy Z Fold 5

Como Usar o Samsung Pay Com o Galaxy Z Fold 5

Procurar aquele cartão na carteira pode ser um verdadeiro incômodo. Nos últimos anos, várias empresas têm desenvolvido e lançado soluções de pagamento sem contato.

Como Excluir o Histórico de Downloads do Android

Como Excluir o Histórico de Downloads do Android

Ao excluir o histórico de downloads do Android, você ajuda a liberar espaço de armazenamento e outros benefícios. Aqui estão os passos a seguir.

Como Excluir Fotos e Vídeos do Facebook

Como Excluir Fotos e Vídeos do Facebook

Este guia mostrará como excluir fotos e vídeos do Facebook usando um PC, Android ou dispositivo iOS.

Como Reiniciar o Galaxy Tab S9

Como Reiniciar o Galaxy Tab S9

Nós passamos um pouco de tempo com o Galaxy Tab S9 Ultra, que é o tablet perfeito para emparelhar com seu PC Windows ou o Galaxy S23.

Como Silenciar Mensagens de Texto em Grupo no Android 11

Como Silenciar Mensagens de Texto em Grupo no Android 11

Silencie mensagens de texto em grupo no Android 11 para manter as notificações sob controle no aplicativo de Mensagens, WhatsApp e Telegram.

Firefox: Limpar o Histórico de URLs da Barra de Endereços

Firefox: Limpar o Histórico de URLs da Barra de Endereços

Aprenda a limpar o histórico de URLs da barra de endereços no Firefox e mantenha suas sessões privadas seguindo estes passos simples e rápidos.

Como Identificar e Denunciar Golpistas no Facebook

Como Identificar e Denunciar Golpistas no Facebook

Para denunciar um golpista no Facebook, clique em Mais opções e selecione Encontrar suporte ou denunciar perfil. Em seguida, preencha o formulário de denúncia.