1. Web
  2. Security
  3. Praktische Implementierungsleitfäden
  4. MIME-Typ-Verifizierung

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

MIME-Typ-Verifizierung

Der X-Content-Type-Options-Header informiert Browser, Skripte und Stylesheets nur dann zu laden, wenn der Server den korrekten MIME-Typ angibt.

Problem

Ohne ordnungsgemäße MIME-Typ-Verifizierung könnten Browser fälschlicherweise Nicht-Skript- und Nicht-Stylesheet-Dateien als Skripte oder Stylesheets erkennen. Dieser Fehler ermöglicht das Laden potenziell schädlicher Dateien über <script> und <link>-Elemente im Rahmen von Cross-Site-Scripting (XSS)-Angriffen.

Lösung

Alle Websites müssen den X-Content-Type-Options-Header mit dem Wert nosniff setzen und geeignete MIME-Typen für die Dateien angeben, die sie bereitstellen (d.h. über den Content-Type-Header).

nosniff blockiert eine Anfrage, wenn das Anfragedatum:

  • vom Typ style ist und der MIME-Typ nicht text/css ist.
  • vom Typ script ist und der MIME-Typ kein gültiger JavaScript-MIME-Typ ist.

Beispiele

Verhindert, dass Browser fälschlicherweise Nicht-Stylesheets als Stylesheets und Nicht-Skripte als Skripte erkennen:

http
X-Content-Type-Options: nosniff

Siehe auch

Help improve MDN

Learn how to contribute Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden
Morty Proxy This is a proxified and sanitized view of the page, visit original site.