Security 内容类型和X-Content-Type-Options标题的安全性

在浏览有关web应用程序漏洞的资料时，我遇到了一些问题。详情如下

• burp、APPScan等工具根据应用服务器的特定响应头报告漏洞。我知道有些标题是相互补充的。例如：-“内容类型”和“X-Content-type-Options”。如果second设置为“nosniff”，浏览器将根本不会嗅探响应主体，并将遵循“Content Type”标题中设置的值。类似地，HTTP请求还可以使用“接受”类型的头指示它期望的响应类型。在这种情况下，如果“X-CaseType选项”不被设置为“NoNIFF”，而对于这样的响应的请求是否具有“接受”参数，仅指示文本类型/文本，则需要考虑应用程序脆弱性吗？p>
• 此查询的另一个扩展是，如果响应头设置了以下字段<代码>内容类型=文本/普通X-Content-Type-Options=nosinff。在我看来，这不是一个漏洞，因为第二个参数将限制浏览器嗅探响应主体。从安全角度看，我的理解正确吗

---

从攻击者的角度来看，您对服务器的整个http请求只不过是一个字符串块。攻击者不太可能使用标准浏览器执行攻击。它更像是一个脚本，只是跳出http请求，或者是一个代理工具，拦截请求并允许任何形式的修改。“nosniff”标志对于这些类型的请求修改并不重要。永远不要信任http请求的内容，因为它们可以完全由用户指定

从攻击者的角度来看，您对服务器的整个http请求只不过是一个字符串块。攻击者不太可能使用标准浏览器执行攻击。它更像是一个脚本，只是跳出http请求，或者是一个代理工具，拦截请求并允许任何形式的修改。“nosniff”标志对于这些类型的请求修改并不重要。永远不要信任http请求的内容，因为它们可以完全由用户指定

仅仅因为头被设置为“nosinff”并不能阻止漏洞，因为对于所有类型的头，它们都可以由客户端更改，而不是确保安全的完整方法。仅仅因为头被设置为“nosinff”不要停止漏洞，因为所有类型的头都可以由客户端更改，而不是确保安全的完整方法。