Security 如何将WebSphere7配置为在响应头中始终包含“X-Content-Type-Options:nosniff”?
我正在使用OWASP进行应用程序扫描,得到了这份报告。我认为,配置就是在所有响应头中包含头,这是有办法的。提前感谢您的回答 脆弱性: 反MIME嗅探标头X-Content-Type-Options未设置为“nosniff”。这允许旧版本的Internet Explorer和Chrome在响应正文上执行MIME嗅探,可能导致响应正文被解释并显示为声明的内容类型以外的内容类型。 当前的2014年初版本和旧版Firefox将使用声明的内容类型(如果设置了),而不是执行MIME嗅探 建议的解决办法: 为web服务器直接提供的javascript、css等资源设置X-Content-Type-Options:nosniff头。这可以通过服务器配置完成,因此这可能涉及文档更新 受影响的URL/资源: 到目前为止我做了什么 我所做的就是这样。我将标记放在注释掉属性modules/mod_headers.so之后,然后重新启动appserver,但仍然是相同的响应头Security 如何将WebSphere7配置为在响应头中始终包含“X-Content-Type-Options:nosniff”?,security,websphere,Security,Websphere,我正在使用OWASP进行应用程序扫描,得到了这份报告。我认为,配置就是在所有响应头中包含头,这是有办法的。提前感谢您的回答 脆弱性: 反MIME嗅探标头X-Content-Type-Options未设置为“nosniff”。这允许旧版本的Internet Explorer和Chrome在响应正文上执行MIME嗅探,可能导致响应正文被解释并显示为声明的内容类型以外的内容类型。 当前的2014年初版本和旧版Firefox将使用声明的内容类型(如果设置了),而不是执行MIME嗅探 建议的解决办法: 为
LoadModule headers_module modules/mod_headers.so
<Directory mod_headers.c>
Header always set X-Content-Type-Options nosniff
</Directory>
尝试将其放入IfModule或VirtualHost中 我试过这个,效果很好:
LoadModule headers_module modules/mod_headers.so
<IfModule mod_headers.c>
Header always set X-Content-Type-Options nosniff
</IfModule>
嗨,魔杖,我想知道js文件是否也会影响这个配置更改?是的,没错,所有静态文件也会受到CSS、js和图像的影响。根据html5 boilerplate.htaccess config on,建议将其也放在静态内容上。