Charset Mismatch

Charset Mismatch

Copyright ┬ę Shutterstock / ampcool

Was ist Charset Mismatch?

Bei der Charset Mismatch Pr├╝fung werden Antworten identifiziert, bei denen der HTTP-Contenttyp-Header einen Zeichensatz deklariert, der sich von dem durch den Text des HTML oder XML definierten Zeichensatz unterscheidet. Wenn der Zeichensatz des HTTP-Headers nicht mit dem Text des Inhalts ├╝bereinstimmt, k├Ânnen Webbrowser in einen unerw├╝nschten Inhalts-Sniffing-Modus gezwungen werden, um den korrekten Zeichensatz des Inhalts zu ermitteln.

Beschreibung

Der Security Scanner behandelt je nach Threshold-Einstellung des Scanners verschiedene Bedingungen:

  • Header- vs. Meta-Contenttyp-Zeichensatz – Deklaration im HTTP-Contenttyp-Header stimmt nicht mit dem deklarierten META-Contenttyp-Tag ├╝berein
  • Header- vs. Meta-Zeichensatz – Deklaration im HTTP-Contenttyp-Header stimmt nicht mit dem deklarierten META-Zeichensatz ├╝berein.
  • Meta-Contenttyp-Zeichensatz fehlt – die Antwort enth├Ąlt keinen META-Contenttyp Deklaration, wodurch ├Ąltere Clients m├Âglicherweise ├╝bersehen werden.
  • Meta-Zeichensatz im Vergleich zu Meta-Contenttyp-Zeichensatz – die Antwort enth├Ąlt sowohl eine META-Contenttyp-Deklaration als auch eine META-Zeichensatz-Deklaration und sie stimmen nicht ├╝berein.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsungen

  • Treffen Sie keine Entscheidung auf Grundlage des Namens von etwa beispielsweise Dateien, wenn diese alternative Namen haben k├Ânnen
  • Verwenden sie eine Art “Whitelist” aus akzeptablen Eingaben, die streng den Spezifikationen entsprechen
  • Ber├╝cksichtigen Sie alle relevanten Eigenschaften wie etwa L├Ąnge, Eingabetyp, Syntax, Einhaltung von Gesch├Ąftsregeln etc.
  • Verlassen Sie sich nicht ausschlie├člich auf die Suche nach fehlerhaften bzw. sch├Ądlichen Eingaben
  • Vor der Validierung sollten die Eingaben f├╝r die interne Darstellung der Anwendung dekodiert und kanonisiert werden
  • Verwenden und geben Sie eine Codierung an, die von der Downstream-Komponente verarbeitet werden kann
  • ├ťbliche Kodierungen w├Ąren z.B.┬áISO-8859-1, UTF-7 und UTF-8
  • Wird keine Codierung angegeben, so wird eine automatisch ermittelt, was fehlerhaft sein kann

Weitere Hinweise: http://www.w3.org/TR/html401/charset.html


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte