X-Content-Type-Options Header Missing
Copyright © Shutterstock/Pressmaster
Was ist X-Content-Type-Options Header Missing?
Beim X-Content-Type-Options Header Missing wurde die X-Content-Type-Option des Anti-MIME-Sniffing-Headers nicht auf ‘nosniff’ gesetzt. Dies ermöglicht Ă€lteren Versionen vom Internet Explorer und Chrome MIME-Sniffing fĂŒr den Antworttext auszufĂŒhren, wodurch möglicherweise der Antworttext den deklarierten Inhaltstyp als ein anderer Inhaltstyp interpretiert und angezeigt wird.
Aktuelle (Anfang 2014) und Ă€ltere Versionen von Firefox verwenden den deklarierten Inhaltstyp (sofern festgelegt) anstelle des DurchfĂŒhrens des MIME-Sniffing.
Tipp
ĂberprĂŒfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Lösung
Es ist sicherzustellen, dass die Anwendung/Webserver den Content-Type-Header entsprechend festlegt und den X-Content-Type-Options-Header fĂŒr alle Webseiten auf ‘nosniff’ setzt.
Nach Möglichkeit soll sichergestellt werden, dass der Endnutzer einen standardkonformen und modernen Web Browser verwendet, der ĂŒberhaupt kein MIME-Sniffing ausfĂŒhrt oder von der Webanwendung/Webserver angewiesen werden kann kein MIME-Sniffing durchzufĂŒhren.
Wissenswert
Dieses Problem gilt weiterhin fĂŒr Fehlertyp-Seiten (401, 403, 500 usw.), da diese Seiten hĂ€ufig noch von Infektionsproblemen betroffen sind. In diesem Fall gibt es immer noch Bedenken, dass Browser-Seiten beim eigentliche Inhaltstyp abschauen. Der Scanner wird keine Benachrichtigungen ĂŒber Client- und Serverfehlerantworten bei dem “High”-Threshold ausgeben.
Datenbanklink zur Schwachstelle
Allgemeiner Schwachstellen-Datenbanklink
Wenn Sie noch Fragen bezĂŒglich des Themas haben, dann können Sie sich gerne weiter ĂŒber die Seite der CWE Organisation, Microsoft darĂŒber weiter informieren.
Sie haben noch Fragen?
