X-Content-Type-Options Header Missing

X-Content-Type-Options Header Missing

Copyright © Shutterstock/Pressmaster

Was ist X-Content-Type-Options Header Missing?

Beim X-Content-Type-Options Header Missing wurde die X-Content-Type-Option des Anti-MIME-Sniffing-Headers nicht auf ‘nosniff’ gesetzt. Dies ermöglicht Ă€lteren Versionen vom Internet Explorer und Chrome MIME-Sniffing fĂŒr den Antworttext auszufĂŒhren, wodurch möglicherweise der Antworttext den deklarierten Inhaltstyp als ein anderer Inhaltstyp interpretiert und angezeigt wird.

Aktuelle (Anfang 2014) und Ă€ltere Versionen von Firefox verwenden den deklarierten Inhaltstyp (sofern festgelegt) anstelle des DurchfĂŒhrens des MIME-Sniffing.

Tipp

ÜberprĂŒfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Es ist sicherzustellen, dass die Anwendung/Webserver den Content-Type-Header entsprechend festlegt und den X-Content-Type-Options-Header fĂŒr alle Webseiten auf ‘nosniff’ setzt.

Nach Möglichkeit soll sichergestellt werden, dass der Endnutzer einen standardkonformen und modernen Web Browser verwendet, der ĂŒberhaupt kein MIME-Sniffing ausfĂŒhrt oder von der Webanwendung/Webserver angewiesen werden kann kein MIME-Sniffing durchzufĂŒhren.

Wissenswert

Dieses Problem gilt weiterhin fĂŒr Fehlertyp-Seiten (401, 403, 500 usw.), da diese Seiten hĂ€ufig noch von Infektionsproblemen betroffen sind. In diesem Fall gibt es immer noch Bedenken, dass Browser-Seiten beim eigentliche Inhaltstyp abschauen. Der Scanner wird keine Benachrichtigungen ĂŒber Client- und Serverfehlerantworten bei dem “High”-Threshold ausgeben.

Datenbanklink zur Schwachstelle

Allgemeiner Schwachstellen-Datenbanklink

Wenn Sie noch Fragen bezĂŒglich des Themas haben, dann können Sie sich gerne weiter ĂŒber die Seite der CWE Organisation, Microsoft darĂŒber weiter informieren.

CWE OrganisationMicrosoft

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte