Saltar al contenido

¿Qué es “X-Content-Type-Options=nosniff”?

Por fin luego de tanto batallar pudimos dar con la contestación de esta traba que algunos lectores de nuestro sitio web tienen. Si tienes algo que compartir no dejes de dejar tu información.

Solución:

Evita que el navegador realice un rastreo de tipo MIME. La mayoría de los navegadores ahora respetan este encabezado, incluidos Chrome/Chromium, Edge, IE >= 8.0, Firefox >= 50 y Opera >= 13. Consulte:

https://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx?Redirected=true

Enviar el nuevo encabezado de respuesta X-Content-Type-Options con el valor nosniff evitará que Internet Explorer detecte mediante MIME una respuesta fuera del tipo de contenido declarado.

EDITAR:

Ah, y eso es un encabezado HTTP, no una opción de metaetiqueta HTML.

Consulte también: http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85).aspx

Descripción

Configuración de un servidor X-Content-Type-Options Encabezado de respuesta HTTP a nosniff indica a los navegadores que deshabiliten el contenido o la exploración MIME que se utiliza para anular la respuesta Content-Type encabezados para adivinar y procesar los datos utilizando un tipo de contenido implícito. Si bien esto puede ser conveniente en algunos escenarios, también puede dar lugar a algunos de los ataques que se enumeran a continuación. Configurando su servidor para devolver el X-Content-Type-Options Encabezado de respuesta HTTP establecido en nosniff instruirá a los navegadores que soportan MIME sniffing para usar el servidor proporcionado Content-Type y no interpretar el contenido como un tipo de contenido diferente.

Compatibilidad con navegador

los X-Content-Type-Options El encabezado de respuesta HTTP es compatible con Chrome, Firefox y Edge, así como con otros navegadores. La compatibilidad con navegadores más reciente está disponible en la Tabla de compatibilidad de navegadores de Mozilla Developer Network (MDN) para X-Content-Type-Options:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options

Ataques contrarrestados

  1. Ataque de confusión MIME permite ataques a través de sitios de contenido generado por el usuario al permitir que los usuarios carguen código malicioso que luego ejecutan los navegadores que interpretarán los archivos utilizando tipos de contenido alternativos, por ejemplo, implícito application/javascript contra explícito text/plain. Esto puede resultar en un ataque de “descarga oculta”, que es un vector de ataque común para el phishing. Los sitios que alojan contenido generado por usuarios deben usar este encabezado para proteger a sus usuarios. Esto es mencionado por VeraCode y OWASP que dice lo siguiente:

    Esto reduce la exposición a ataques de descargas no autorizadas y sitios que ofrecen contenido cargado por el usuario que, con nombres inteligentes, podría ser tratado por MSIE como archivos ejecutables o HTML dinámicos.

  2. Hotlinking no autorizado también puede ser habilitado por Content-Type olfateando Al vincular a sitios con recursos para un propósito, por ejemplo, visualización, las aplicaciones pueden confiar en el rastreo de tipo de contenido y generar una gran cantidad de tráfico en sitios para otro propósito donde puede estar en contra de sus términos de servicio, por ejemplo, GitHub muestra código JavaScript para visualización, pero no para la ejecución:

    Algunos molestos usuarios no humanos (a saber, computadoras) han comenzado a “enlazar” activos a través de la función de vista sin procesar, utilizando la URL sin procesar como el src para

etiqueta. El problema es que estos no son static activos. La vista de archivo sin procesar, como cualquier otra vista en una aplicación de Rails, debe procesarse antes de devolverse al usuario. Esto rápidamente se suma a una gran pérdida en el rendimiento. En el pasado, nos vimos obligados a bloquear contenido popular servido de esta manera porque ejercía una presión excesiva sobre nuestros servidores.

# prevent mime based attacks
Header set X-Content-Type-Options "nosniff"

Este encabezado previene ataques basados ​​en "mime". Este encabezado evita que Internet Explorer detecte mediante MIME una respuesta del tipo de contenido declarado, ya que el encabezado indica al navegador que no anule el tipo de contenido de la respuesta. Con la opción nosniff, si el servidor dice que el contenido es texto/html, el navegador lo representará como texto/html.

http://stopmalvertising.com/security/asegurando-su-sitio-web-con-.htaccess/.htaccess-http-headers.html

Si para ti ha resultado provechoso nuestro post, nos gustaría que lo compartas con más desarrolladores así nos ayudas a dar difusión a esta información.

¡Haz clic para puntuar esta entrada!
(Votos: 2 Promedio: 4.5)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *