【已解决】“X-Content-Type-Options”头缺失或不安全

解决“X-Content-Type-Options”头缺失或不安全问题
最新推荐文章于 2025-09-16 07:38:02 发布
原创 最新推荐文章于 2025-09-16 07:38:02 发布 · 837 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #安全架构 #网络 #网络安全

Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。

在web安全测试中,今天我们说下扫描结果中包含X-Content-Type-Options请求头header的缺失或不安全的时候,我们该如何应对。

风险:可能会收集有关 Web
应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。

技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。运行潜在的脚本文件,会存在丢失数据的风险。

简单理解为:通过设置”X-Content-Type-Options:
nosniff”响应标头,对script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件。

X-Content-Type-Options: nosniff

如果响应中接收到 “nosniff” 指令,则浏览器不会加载“script”文件,除非 MIME 类型匹配以下值之一:

  • “application/ecmascript”
  • “application/javascript”
  • “application/x-javascript”
  • “text/ecmascript”
  • “text/javascript”
  • “text/jscript”
  • “text/x-javascript”
  • “text/vbs”
  • “text/vbscript”
Nginx Web服务器
  • 在服务器块下的nginx.conf中添加以下参数

server {
listen 443;
server_name ds.v.com; # 驾驶安全

      location / {
      client_body_timeout  7200;
      proxy_read_timeout 7200;
      proxy_send_timeout 7200;
      proxy_pass   http://127.0.0.1:9005/;
      proxy_cookie_path / "/; httponly; secure; SameSite=Lax";
      add_header X-Content-Type-Options nosniff;
  }

  ssl_certificate     "/etc/nginx/ssl/ds/ds.v.com.pem";
  ssl_certificate_key "/etc/nginx/ssl/ds/ds.v.com.key";
  # ssl_protocols      TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
  ssl_protocols      TLSv1.3;

  ssl_session_cache shared:SSL:1m;
  ssl_session_timeout  10m;
  ssl_ciphers HIGH:!aNULL:!MD5;
  ssl_prefer_server_ciphers on;
}

保存nginx.conf文件, 然后重新启动Nginx以查看结果。

**

网络安全学习资源分享:

成长路线图&学习规划

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

网安入门到进阶视频教程

我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。

技术文档

我们也提供了一些技术文档,大家可以参考。

所有资料共282G,朋友们如果有需要全套资料包,可以点下面卡片获取,无偿分享!

姑老爷呀
关注
响应缺省xss防御(X-XSS-Protection、X-Content-Type-Options
墨痕诉清风的博客
06-28 1146
Web对于 HTTP 请求的响应缺少 X-Content-Type-Options,这意味着此网站更易遭受跨站脚本攻击(XSS)。X-Content-Type-Options 响应相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。
IIS环境检测到网站存在响应X-XSS-Protection\X-Frame-Options\X-Content-Type-Options漏洞解决办法
hyb3280660的专栏
08-10 5967
IIS站点响应标设置:X-XSS-Protection、X-Frame-Options、X-Content-Type-Options
【云原生技术】- 安全容器隔离技术:安全隔离、性能隔离、故障隔离
wangluoanquan111的博客
03-26 2188
在容器化和微服务架构中,“安全隔离”、“性能隔离” 和 “故障隔离” 是三个关键概念,它们是确保系统稳定、安全和高效运行的重要方面。
Tomcat中的HTTP响应X-Content-Type-Options配置详解
最新发布
gitblog_00152的博客
09-16 472
你是否曾遇到过这样的场景:服务器明明返回的是文本文件,浏览器却将其解析为可执行脚本?这种被称为"**MIME类型嗅探(MIME Type Sniffing)**"的浏览器行为,可能导致恶意攻击者通过上传看似无害的文件来执行跨站脚本(XSS)攻击。根据OWASP 2024年Web安全报告,约有34%的Web应用漏洞与当的内容类型处理相关,而**X-Content-Type-Options**响应...
检测到系统有X-Content-Type-Options响应缺失
hzjhss的博客
09-03 2780
X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而能对其进行修改。https://stackoverflow.com/questions/21322295/how-can-i-add-x-content-type-options-nosniff-to-all-the-response-headers-from找到配置文件。apache的解决办法。
漏洞扫描,解决缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”问题
hsc的博客
07-22 7435
缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”解决方法 用AppScan扫描网站,高危问题:缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”解决方式 解决方法 将下面内容添加到nginx.conf 文件http 结构下 # security headers add_header X-Frame-Options
X-Frame-Options未设置 HTTP X-Content-Type-Options缺失 HTTP Referrer-Policy缺失
08-05
2. X-Content-Type-Options缺失:X-Content-Type-Options是用来防止MIME类型欺骗攻击的。如果未设置该部,攻击者可能会通过伪装成同的MIME类型来绕过浏览器的安全检查。建议设置X-Content-Type-Options为...
tomcat8.5如何通过配置文件解决X-Download-Options,X-Permitted-Cross-Domain-Policies,Referrer-Policy,X-Frame-Options,X-Content-Type-Options缺失问题
03-23
在Tomcat 8.5中,可以通过修改配置文件来解决X-Download-Options,X-Permitted-Cross-Domain-Policies,Referrer-Policy,X-Frame-Options,X-Content-Type-Options缺失的问题。具体步骤如下: 1. 打开Tomcat的...
检测到目标X-Content-Type-Options响应缺失 如何处理
03-08
好的,我现在需要处理用户提出的关于X-Content-Type-Options响应缺失的问题。首先,我要确认自己对这个安全部的理解是否正确。X-Content-Type-Options是HTTP响应之一,主要用来防止浏览器进行MIME类型嗅探,...
检测到目标X-Content-Type-Options响应缺失
lxyoucan的博客
07-15 7927
X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应缺失使得目标URL更易遭受跨站脚本攻击。
Content-Security-Policy”缺失安全
热门推荐
(ง •_•)ง
11-23 1万+
中间件为IIS,网站根目录下找到“web.cofig”文件,没有则新建该文件。复制以下代码,粘贴到web.cofig文件中(新建全部复制,已有复制system.webserver) <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <httpProtoc...
web安全测试之appscan – “X-Content-Type-Options缺失安全
Programming
06-05 6868
web安全测试之appscan - “X-Content-Type-Options缺失安全 - 猿码设计师web 安全测试 appscan; 通过设置"X-Content-Type-Options: nosniff"响应标,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉安全的文件。https://www.yuanmadesign.com/ymdesign/appscan-web-test2Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司
安全修复之Web——HTTP X-Content-Type-Options缺失
CN華少的博客
05-01 3940
安全修复之Web——HTTP X-Content-Type-Options缺失 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:...
安全响应(三)​X-Content-Type-Options
xnxqwzy的博客
03-05 3758
一 [X-Content-Type-Options响应](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options “X-Content-Type-Options响应”)① 基础铺垫② 浏览器默认行为③ 问题引入相关配置说明④ 参考链接[css 的content-type"text/html" 是 “text/css”
“X-Content-Type-Options缺失安全
fengkuangyiye的博客
11-16 1168
位置:src/main/java/com/ruoyi/framework/interceptor/RepeatSubmitInterceptor.java。
HTTP 响应 X-Content-Type-Options 缺失漏洞验证方法
09-10
<think> 我们正在讨论的是HTTP响应中X-Content-Type-Options缺失漏洞的验证方法。 根据引用[2]和[3],我们知道X-Content-Type-Options响应的正确设置是添加值为"nosniff"。 该的作用是阻止浏览器进行MIME类型嗅探,从而减少基于MIME类型混淆的攻击(尤其是跨站脚本攻击)。 验证方法: 1. 发送HTTP请求并获取响应。 2. 检查响应中是否存在X-Content-Type-Options。 3. 如果存在,检查其值是否为"nosniff"(区分大小写)。 4. 如果存在,者值是"nosniff",则存在漏洞。 我们可以使用以下方法进行验证: 一、手动验证(使用浏览器开发者工具): 1. 打开浏览器(如Chrome)的开发者工具(F12)。 2. 切换到“网络”(Network)选项卡。 3. 访问目标URL。 4. 在请求列表中选择目标请求,查看响应部分。 5. 检查是否存在:`X-Content-Type-Options: nosniff` 二、使用curl命令验证: 在命令行中执行: ```bash curl -I http://example.com ``` 检查输出中是否有: ``` X-Content-Type-Options: nosniff ``` 三、使用自动化脚本(Python示例): ```python import requests def check_x_content_type_options(url): try: response = requests.head(url) # 使用HEAD方法快速获取响应 headers = response.headers # 检查是否存在且值正确(区分大小写) if 'X-Content-Type-Options' in headers: value = headers['X-Content-Type-Options'].lower() if value == 'nosniff': print(f"[安全] {url} 存在X-Content-Type-Options,且值为nosniff") else: print(f"[漏洞] {url} 存在X-Content-Type-Options,但值正确: {value}") else: print(f"[漏洞] {url} 缺少X-Content-Type-Options") except Exception as e: print(f"检查{url}时出错: {e}") # 测试 check_x_content_type_options('http://example.com') ``` 四、使用安全扫描工具: 可以使用如AppScan、Burp Suite、OWASP ZAP等工具进行扫描,这些工具可以自动检测该漏洞。 修复建议: 根据引用[3],在服务器配置中添加该- Nginx: 在配置文件中添加: ``` add_header X-Content-Type-Options "nosniff"; ``` - Apache: 在httpd.conf.htaccess中添加: ``` Header set X-Content-Type-Options "nosniff" ``` - IIS: 在web.config的<system.webServer>节点中添加: ```xml <httpProtocol> <customHeaders> <add name="X-Content-Type-Options" value="nosniff" /> </customHeaders> </httpProtocol> ``` 注意:添加后需要重启服务器重新加载配置。 引用说明: 根据引用[2],设置该可以阻止浏览器对script和styleSheet的MIME类型嗅探,从而提高安全性[^2]。 根据引用[3],该可以防止浏览器将非JavaScript的脚本当作JavaScript执行,从而避免一些跨站脚本攻击[^3]。 相关问题: 1. 如何验证Content-Security-Policy是否缺失? 2. HTTP响应中还有哪些安全相关的需要配置? 3. 如何在Web服务器(如Tomcat)上配置X-Content-Type-Options? </think> ### HTTP响应 `X-Content-Type-Options` 缺失漏洞验证方法 #### 一、漏洞原理说明 当服务器响应缺少 `X-Content-Type-Options: nosniff` 时,浏览器会执行 **MIME嗅探(MIME Sniffing)**: 1. 浏览器尝试自动推断文件类型(如误判JS/CSS文件) 2. 攻击者可上传恶意文件(如图片含JS代码),诱导浏览器以脚本方式执行 3. 导致跨站脚本攻击(XSS)、内容注入等风险[^2][^3] --- #### 二、手动验证步骤 ##### 1. 获取目标URL的HTTP响应 ```bash # 使用curl命令 curl -I https://example.com # 预期安全响应示例 HTTP/2 200 X-Content-Type-Options: nosniff ✅ 关键标识 Content-Type: text/html; charset=utf-8 ``` ##### 2. 检查关键字段 - **存在漏洞**:响应完全缺失 `X-Content-Type-Options` - **高风险配置**:存在该但值非 `nosniff`(如 `X-Content-Type-Options: off`) ##### 3. 浏览器开发者工具验证 1. 按 `F12` 打开开发者工具 → 切换到 **Network(网络)** 选项卡 2. 访问目标页面 → 点击任意请求 3. 在 **Response Headers(响应)** 中检查是否存在: ```http X-Content-Type-Options: nosniff ``` ##### 4. 文件类型混淆测试 上传以下文件到目标系统(需有文件上传功能): ```html <!-- 伪装成图片的恶意HTML文件(evil.png) --> GIF89a... <script>alert("XSS via MIME Sniffing");</script> ``` 访问该文件URL,观察是否弹出警示框(证明浏览器执行了脚本)。 --- #### 三、自动化验证工具 | 工具名称 | 检测命令/操作 | 输出关键项 | |----------------|------------------------------------------|------------------------------| | **OWASP ZAP** | 右键目标 → Attack → Active Scan | `X-Content-Type-Options Header Not Set` | | **Nmap** | `nmap -p 443 --script http-security-headers example.com` | `http-security-headers: X-Content-Type-Options not present` | | **Burp Suite** | Proxy → 右键请求 → Send to Scanner | 报告"Missing X-Content-Type-Options Header" | --- #### 四、漏洞修复方案 根据服务器类型配置(参考引用[3]): **Nginx**(在 `nginx.conf` 中添加): ```nginx add_header X-Content-Type-Options "nosniff" always; ``` **Apache**(在 `.htaccess` 中添加): ```apache Header set X-Content-Type-Options "nosniff" ``` **IIS**(在 `web.config` 中添加): ```xml <system.webServer> <httpProtocol> <customHeaders> <add name="X-Content-Type-Options" value="nosniff" /> </customHeaders> </httpProtocol> </system.webServer> ``` > ⚠️ **验证修复**:配置后重新执行步骤一,确认响应包含 `X-Content-Type-Options: nosniff`[^2][^3]。 --- #### 五、关联风险防护 建议同步配置其他安全: ```nginx # 推荐组合配置 add_header Content-Security-Policy "default-src 'self'"; # 防XSS[^1] add_header X-Content-Type-Options "nosniff"; add_header X-Frame-Options "SAMEORIGIN"; ``` --- ### 相关问题 1. 如何验证 `Content-Security-Policy` 的配置有效性? 2. `X-Frame-Options` 与 `Content-Security-Policy` 的 frame-ancestors 指令有何区别? 3. 哪些自动化工具可批量扫描 HTTP 安全缺失漏洞? 4. MIME嗅探攻击除了XSS还可能造成哪些威胁? [^1]: 缺少Content-Security-Policy可能导致跨站脚本攻击等隐患 [^2]: 设置`X-Content-Type-Options: nosniff`可过滤安全文件 [^3]: 未设置`nosniff`时浏览器可能加载非标准MIME类型的脚本
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值