X-Content-Type-Options Header Missing

Was ist X-Content-Type-Options Header Missing?

Beim X-Content-Type-Options Header Missing wurde die X-Content-Type-Option des Anti-MIME-Sniffing-Headers nicht auf ‘nosniff’ gesetzt. Dies ermöglicht älteren Versionen vom Internet Explorer und Chrome MIME-Sniffing für den Antworttext auszuführen, wodurch möglicherweise der Antworttext den deklarierten Inhaltstyp als ein anderer Inhaltstyp interpretiert und angezeigt wird.

Aktuelle (Anfang 2014) und ältere Versionen von Firefox verwenden den deklarierten Inhaltstyp (sofern festgelegt) anstelle des Durchführens des MIME-Sniffing.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Es ist sicherzustellen, dass die Anwendung/Webserver den Content-Type-Header entsprechend festlegt und den X-Content-Type-Options-Header für alle Webseiten auf ‘nosniff’ setzt.

Nach Möglichkeit soll sichergestellt werden, dass der Endnutzer einen standardkonformen und modernen Web Browser verwendet, der überhaupt kein MIME-Sniffing ausführt oder von der Webanwendung/Webserver angewiesen werden kann kein MIME-Sniffing durchzuführen.

Hinweis

Dieses Problem gilt weiterhin für Fehlertyp-Seiten (401, 403, 500 usw.), da diese Seiten häufig noch von Infektionsproblemen betroffen sind. In diesem Fall gibt es immer noch Bedenken, dass Browser-Seiten beim eigentliche Inhaltstyp abschauen. Der Scanner wird keine Benachrichtigungen über Client- und Serverfehlerantworten bei dem “High”-Threshold ausgeben.

Datenbanklink zur Schwachstelle

https://cwe.mitre.org/data/definitions/16.html

http://msdn.microsoft.com/en-us/library/ie/gg622941%28v=vs.85%29.aspx

https://www.owasp.org/index.php/List_of_useful_HTTP_headers


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte