Tôi đang làm một số thử nghiệm thâm nhập vào localhost của tôi với OWASP ZAP, và nó tiếp tục báo cáo tin nhắn này:"X-Content-Type-Options = nosniff" là gì?
Các Anti-MIME-Sniffing tiêu đề X-Content-Type-Tùy chọn đã không được đặt để 'nosniff'
Séc này dành riêng cho Internet Explorer 8 và Google Chrome. Đảm bảo mỗi trang đặt ra một tiêu đề Content-Type và X-content-type-OPTIONS nếu Content-Type tiêu đề không rõ
Tôi không có ý tưởng gì này có nghĩa, và tôi không thể tìm thấy bất cứ điều gì trực tuyến . Tôi đã thử thêm:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
nhưng tôi vẫn nhận được cảnh báo.
Cách thiết lập thông số chính xác là gì?
Bạn phải kể đến đó là 'cho các máy chủ lưu trữ content' không tin cậy. Đối với các trang web không hiển thị nội dung từ video tải lên của người dùng, bạn không cần phải đặt nội dung này. – machineaddict
@machineaddict, ** Sai **. Việc đánh hơi sẽ xảy ra bất kể nội dung được tin cậy hay không tin cậy. Xem http://security.stackexchange.com/a/11761/2379. Nó sẽ phá vỡ trang web của bạn theo những cách tinh tế. Luôn tắt ngửi nếu bạn không thích bất ngờ. – Pacerier
Tôi nghĩ rằng bạn đã bỏ lỡ phần "MIME-type sniffing là gì?" –