Por fin luego de tanto batallar pudimos dar con la contestación de esta traba que algunos lectores de nuestro sitio web tienen. Si tienes algo que compartir no dejes de dejar tu información.
Solución:
Evita que el navegador realice un rastreo de tipo MIME. La mayoría de los navegadores ahora respetan este encabezado, incluidos Chrome/Chromium, Edge, IE >= 8.0, Firefox >= 50 y Opera >= 13. Consulte:
https://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx?Redirected=true
Enviar el nuevo encabezado de respuesta X-Content-Type-Options con el valor nosniff evitará que Internet Explorer detecte mediante MIME una respuesta fuera del tipo de contenido declarado.
EDITAR:
Ah, y eso es un encabezado HTTP, no una opción de metaetiqueta HTML.
Consulte también: http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85).aspx
Descripción
Configuración de un servidor X-Content-Type-Options
Encabezado de respuesta HTTP a nosniff
indica a los navegadores que deshabiliten el contenido o la exploración MIME que se utiliza para anular la respuesta Content-Type
encabezados para adivinar y procesar los datos utilizando un tipo de contenido implícito. Si bien esto puede ser conveniente en algunos escenarios, también puede dar lugar a algunos de los ataques que se enumeran a continuación. Configurando su servidor para devolver el X-Content-Type-Options
Encabezado de respuesta HTTP establecido en nosniff
instruirá a los navegadores que soportan MIME sniffing para usar el servidor proporcionado Content-Type
y no interpretar el contenido como un tipo de contenido diferente.
Compatibilidad con navegador
los X-Content-Type-Options
El encabezado de respuesta HTTP es compatible con Chrome, Firefox y Edge, así como con otros navegadores. La compatibilidad con navegadores más reciente está disponible en la Tabla de compatibilidad de navegadores de Mozilla Developer Network (MDN) para X-Content-Type-Options:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
Ataques contrarrestados
-
Ataque de confusión MIME permite ataques a través de sitios de contenido generado por el usuario al permitir que los usuarios carguen código malicioso que luego ejecutan los navegadores que interpretarán los archivos utilizando tipos de contenido alternativos, por ejemplo, implícito
application/javascript
contra explícitotext/plain
. Esto puede resultar en un ataque de “descarga oculta”, que es un vector de ataque común para el phishing. Los sitios que alojan contenido generado por usuarios deben usar este encabezado para proteger a sus usuarios. Esto es mencionado por VeraCode y OWASP que dice lo siguiente:Esto reduce la exposición a ataques de descargas no autorizadas y sitios que ofrecen contenido cargado por el usuario que, con nombres inteligentes, podría ser tratado por MSIE como archivos ejecutables o HTML dinámicos.
-
Hotlinking no autorizado también puede ser habilitado por
Content-Type
olfateando Al vincular a sitios con recursos para un propósito, por ejemplo, visualización, las aplicaciones pueden confiar en el rastreo de tipo de contenido y generar una gran cantidad de tráfico en sitios para otro propósito donde puede estar en contra de sus términos de servicio, por ejemplo, GitHub muestra código JavaScript para visualización, pero no para la ejecución:Algunos molestos usuarios no humanos (a saber, computadoras) han comenzado a “enlazar” activos a través de la función de vista sin procesar, utilizando la URL sin procesar como el
src
parao
# prevent mime based attacks
Header set X-Content-Type-Options "nosniff"
Este encabezado previene ataques basados en "mime". Este encabezado evita que Internet Explorer detecte mediante MIME una respuesta del tipo de contenido declarado, ya que el encabezado indica al navegador que no anule el tipo de contenido de la respuesta. Con la opción nosniff, si el servidor dice que el contenido es texto/html, el navegador lo representará como texto/html.
http://stopmalvertising.com/security/asegurando-su-sitio-web-con-.htaccess/.htaccess-http-headers.html
Si para ti ha resultado provechoso nuestro post, nos gustaría que lo compartas con más desarrolladores así nos ayudas a dar difusión a esta información.