HTTP-заголовок відповіді X-Content-Type-Options є маркер, який використовується сервером, щоб вказати, що типи MIME, рекламовані в заголовках Content-Type, повинні дотримуватися та не змінюватися. Заголовок дає змогу уникнути перевірки типу MIME, стверджуючи, що типи MIME налаштовано навмисно. 1 серпня 2024 р.
HTTP-заголовок X-Content-Type-Options важливий, оскільки це може допомогти запобігти атакам перехоплення типу MIME, який можна використовувати для виконання шкідливого коду на веб-сайті.
X-Content-Type-Options — це цінний механізм захисту, який допомагає пом’якшити вразливості MIME Sniffing і підвищити рівень безпеки веб-додатків. Однак важливо це визнати його можна обійти за допомогою складних методів, потенційно наражаючи програми на ризики безпеки.
Наведіть курсор на «Налаштування», а потім натисніть «Заголовки HTTP», щоб отримати доступ до сторінки параметрів плагіна. Щоб використовувати заголовок «X-Content-Type-Options: nosniff», поставте прапорець біля пункту «Вимкнути перехоплення вмісту». Нарешті, прокрутіть униз сторінки параметрів і натисніть кнопку «Зберегти зміни».
Щоб перевірити X-Content-Type-Options у дії перейдіть до Inspect Element -> Network перевірте заголовок запиту на наявність x-content-type-options як нижче.
Як правильно застосувати заголовок X-Content-Type-Options у IIS
- Відкрийте диспетчер IIS і на дереві ліворуч клацніть лівою кнопкою миші сайт, яким ви хочете керувати.
- Двічі клацніть піктограму «Заголовки відповіді HTTP».
- Клацніть правою кнопкою миші список заголовків і виберіть «Додати»
- Для «назви» напишіть X-Content-Type-Options, а для значення nosniff.