「X-Content-Type-Options=nosniff」とは何ですか? 質問する

tag-icon tag-icon html http-headers meta owasp penetration-testing
「X-Content-Type-Options=nosniff」とは何ですか? 質問する

OWASP ZAP を使用してローカルホストで侵入テストを実行していますが、次のメッセージが繰り返し表示されます。

Anti-MIME-Sniffing ヘッダー X-Content-Type-Options が 'nosniff' に設定されていません

このチェックは、Internet Explorer 8 と Google Chrome に固有のものです。各ページで Content-Type ヘッダーが設定されていることを確認し、Content-Type ヘッダーが不明な場合は X-CONTENT-TYPE-OPTIONS を設定します。

これが何を意味するのか全く分かりませんし、オンラインでも何も見つけられませんでした。以下を追加してみました:

<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />

しかし、まだアラートが届きます。

パラメータを設定する正しい方法は何ですか?

ベストアンサー1

これにより、ブラウザが MIME タイプ スニッフィングを行うことがなくなります。Chrome/Chromium、Edge、IE >= 8.0、Firefox >= 50、Opera >= 13 など、ほとんどのブラウザがこのヘッダーを尊重しています。参照:

https://web.archive.org/web/20120415000000*/https://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx

値 nosniff を持つ新しい X-Content-Type-Options 応答ヘッダーを送信すると、Internet Explorer が宣言されたコンテンツ タイプから離れた応答を MIME スニッフィングするのを防ぐことができます。

編集:

ああ、それは HTTP ヘッダーであり、HTML メタ タグ オプションではありません。

参照:https://learn.microsoft.com/en-us/previous-versions/windows/internet-explorer/ie-developer/compatibility/gg622941(v=vs.85)

おすすめ記事