Security 内容类型和X-Content-Type-Options标题的安全性
在浏览有关web应用程序漏洞的资料时,我遇到了一些问题。详情如下Security 内容类型和X-Content-Type-Options标题的安全性,security,http,Security,Http,在浏览有关web应用程序漏洞的资料时,我遇到了一些问题。详情如下 burp、APPScan等工具根据应用服务器的特定响应头报告漏洞。我知道有些标题是相互补充的。例如:-“内容类型”和“X-Content-type-Options”。如果second设置为“nosniff”,浏览器将根本不会嗅探响应主体,并将遵循“Content Type”标题中设置的值。类似地,HTTP请求还可以使用“接受”类型的头指示它期望的响应类型。在这种情况下,如果“X-CaseType选项”不被设置为“NoNIFF”,
- burp、APPScan等工具根据应用服务器的特定响应头报告漏洞。我知道有些标题是相互补充的。例如:-“内容类型”和“X-Content-type-Options”。如果second设置为“nosniff”,浏览器将根本不会嗅探响应主体,并将遵循“Content Type”标题中设置的值。类似地,HTTP请求还可以使用“接受”类型的头指示它期望的响应类型。在这种情况下,如果“X-CaseType选项”不被设置为“NoNIFF”,而对于这样的响应的请求是否具有“接受”参数,仅指示文本类型/文本,则需要考虑应用程序脆弱性吗?p>
- 此查询的另一个扩展是,如果响应头设置了以下字段<代码>内容类型=文本/普通X-Content-Type-Options=nosinff。在我看来,这不是一个漏洞,因为第二个参数将限制浏览器嗅探响应主体。从安全角度看,我的理解正确吗