Manglende X-Content-Type-Options header
Beskrivelse
URL'er, der mangler 'X-Content-Type-Options' svarheaderen med en 'nosniff' værdi. I mangel af en MIME-type, kan browsere 'sniffe' for at gætte indholdstypen for at fortolke den korrekt for brugere. Dog kan dette udnyttes af angribere, der kan forsøge at indlæse ondsindet kode, såsom JavaScript via et billede, de har kompromitteret.
Sådan kan du fikse det
Minimering af sikkerhedsproblemer
For at minimere sikkerhedsproblemer bør responsheaderen X-Content-Type-Options leveres og sættes til 'nosniff'. Dette instruerer browserne til kun at stole på Content-Type headeren og blokere alt, der ikke passer præcist. Det betyder også, at den indstillede Content-Type skal være korrekt.
Sådan sætter du X-Content-Type-Options til 'nosniff'
Begynd med at finde din serverkonfigurationsfil. Tilføj derefter følgende linje i din HTTP-response header:
X-Content-Type-Options: nosniff
Eksempel på korrekt brug
Her er et eksempel på, hvordan du korrekt anvender X-Content-Type-Options i din HTTP-response header:
<IfModule mod_headers.c>
Header set X-Content-Type-Options "nosniff"
</IfModule>
Se andre guides
Kontakt os for hjælp til Sikkerhed!
Du kan altid kontakte os på telefon: +45 92 90 10 21 eller email: [email protected] eller bruge vores kontaktformular via linket herunder.
Kontakt os herVi vil med glæde hjælpe dig med at løse problemer du står med. Vi arbejder både på time- og opgavebasis og kan komme ind som konsulent hvis det blot er rådgivning du ønsker.
