OWASP ZAP を使用してローカルホストで侵入テストを実行していますが、次のメッセージが繰り返し表示されます。
Anti-MIME-Sniffing ヘッダー X-Content-Type-Options が 'nosniff' に設定されていません
このチェックは、Internet Explorer 8 と Google Chrome に固有のものです。各ページで Content-Type ヘッダーが設定されていることを確認し、Content-Type ヘッダーが不明な場合は X-CONTENT-TYPE-OPTIONS を設定します。
これが何を意味するのか全く分かりませんし、オンラインでも何も見つけられませんでした。以下を追加してみました:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
しかし、まだアラートが届きます。
パラメータを設定する正しい方法は何ですか?
ベストアンサー1
これにより、ブラウザが MIME タイプ スニッフィングを行うことがなくなります。Chrome/Chromium、Edge、IE >= 8.0、Firefox >= 50、Opera >= 13 など、ほとんどのブラウザがこのヘッダーを尊重しています。参照:
値 nosniff を持つ新しい X-Content-Type-Options 応答ヘッダーを送信すると、Internet Explorer が宣言されたコンテンツ タイプから離れた応答を MIME スニッフィングするのを防ぐことができます。
編集:
ああ、それは HTTP ヘッダーであり、HTML メタ タグ オプションではありません。