X-Content-Type-Options Header Missing

Was ist X-Content-Type-Options Header Missing?

Beim X-Content-Type-Options Header Missing wurde die X-Content-Type-Option des Anti-MIME-Sniffing-Headers nicht auf ‘nosniff’ gesetzt. Dies erm├Âglicht ├Ąlteren Versionen vom Internet Explorer und Chrome MIME-Sniffing f├╝r den Antworttext auszuf├╝hren, wodurch m├Âglicherweise der Antworttext den deklarierten Inhaltstyp als ein anderer Inhaltstyp interpretiert und angezeigt wird.

Aktuelle (Anfang 2014) und ├Ąltere Versionen von Firefox verwenden den deklarierten Inhaltstyp (sofern festgelegt) anstelle des Durchf├╝hrens des MIME-Sniffing.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Es ist sicherzustellen, dass die Anwendung/Webserver den Content-Type-Header entsprechend festlegt und den X-Content-Type-Options-Header f├╝r alle Webseiten auf ‘nosniff’ setzt.

Nach M├Âglichkeit soll sichergestellt werden, dass der Endnutzer einen standardkonformen und modernen Web Browser verwendet, der ├╝berhaupt kein MIME-Sniffing ausf├╝hrt oder von der Webanwendung/Webserver angewiesen werden kann kein MIME-Sniffing durchzuf├╝hren.

Hinweis

Dieses Problem gilt weiterhin f├╝r Fehlertyp-Seiten (401, 403, 500 usw.), da diese Seiten h├Ąufig noch von Infektionsproblemen betroffen sind. In diesem Fall gibt es immer noch Bedenken, dass Browser-Seiten beim eigentliche Inhaltstyp abschauen. Der Scanner wird keine Benachrichtigungen ├╝ber Client- und Serverfehlerantworten bei dem “High”-Threshold ausgeben.

Datenbanklink zur Schwachstelle

Allgemeiner Schwachstellen-Datenbanklink

Wenn Sie noch Fragen bez├╝glich des Themas haben, dann k├Ânnen Sie sich gerne weiter ├╝ber die Seite der CWE Organisation, Microsoft dar├╝ber weiter informieren.

CWE Organisation Microsoft

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte