X-Content-Type-Options Header Missing
Copyright © Shutterstock/Pressmaster
Was ist X-Content-Type-Options Header Missing?
Beim X-Content-Type-Options Header Missing wurde die X-Content-Type-Option des Anti-MIME-Sniffing-Headers nicht auf ‘nosniff’ gesetzt. Dies ermöglicht älteren Versionen vom Internet Explorer und Chrome MIME-Sniffing für den Antworttext auszuführen, wodurch möglicherweise der Antworttext den deklarierten Inhaltstyp als ein anderer Inhaltstyp interpretiert und angezeigt wird.
Aktuelle (Anfang 2014) und ältere Versionen von Firefox verwenden den deklarierten Inhaltstyp (sofern festgelegt) anstelle des Durchführens des MIME-Sniffing.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Lösung
Es ist sicherzustellen, dass die Anwendung/Webserver den Content-Type-Header entsprechend festlegt und den X-Content-Type-Options-Header für alle Webseiten auf ‘nosniff’ setzt.
Nach Möglichkeit soll sichergestellt werden, dass der Endnutzer einen standardkonformen und modernen Web Browser verwendet, der überhaupt kein MIME-Sniffing ausführt oder von der Webanwendung/Webserver angewiesen werden kann kein MIME-Sniffing durchzuführen.
Wissenswert
Dieses Problem gilt weiterhin für Fehlertyp-Seiten (401, 403, 500 usw.), da diese Seiten häufig noch von Infektionsproblemen betroffen sind. In diesem Fall gibt es immer noch Bedenken, dass Browser-Seiten beim eigentliche Inhaltstyp abschauen. Der Scanner wird keine Benachrichtigungen über Client- und Serverfehlerantworten bei dem “High”-Threshold ausgeben.
Datenbanklink zur Schwachstelle
Allgemeiner Schwachstellen-Datenbanklink
Wenn Sie noch Fragen bezüglich des Themas haben, dann können Sie sich gerne weiter über die Seite der CWE Organisation, Microsoft darüber weiter informieren.
Sie haben noch Fragen?
