दिलचस्प पोस्ट
त्रुटि: संपत्ति 'दस्तावेज़' का उपयोग करने के लिए अनुमति अस्वीकृत C ++ में मुझे cin.ignore () का उपयोग कब और क्यों करना है? बीसीपी / बल्क INSERT बनाम टेबल-वैल्यू पैरामीटर का प्रदर्शन एक MKMapView की सीमाएं प्राप्त करना सॉर्टिंग स्ट्रिंग जिसमें जावा में नंबर होता है सी # में एक टेलीफोन नंबर के रूप में स्ट्रिंग को कैसे प्रारूपित करें एमएस एक्सेस डेटाबेस से यादृच्छिक रिकॉर्ड कैसे प्राप्त करें यह निर्धारित करने के लिए कि क्या कोई पोर्ट एक विंडोज सर्वर पर खुला है? Window.location.assign () और window.location.replace () के बीच का अंतर स्प्रिंग बूट सेवा एक सेवा के रूप में "N" दिनों के बाद फायरबसे डेटा को कैसे हटाएं? Windows पर एक फ़ाइल नाम मान्य करें पायथन में अभिव्यक्ति और एक बयान में क्या अंतर है? एक तृतीय तालिका में अपने एफके के साथ 2 तालिकाओं में शामिल होने के लिए आवश्यक है सी # से सी ++ की तुलना में कितना तेज़ है?

"X-content-type-options = nosniff" क्या है?

मैं अपने लोकलहोस्ट पर OWASP ZAP के साथ कुछ पैठ परीक्षण कर रहा हूं, और यह इस संदेश को रिपोर्ट करता रहता है:

एंटी-माइम-सूँघने वाला हेडर एक्स-कंटेंट-टाइप-ऑप्शन 'नोज़िनिप' पर सेट नहीं था

यह चेक Internet Explorer 8 और Google Chrome के लिए विशिष्ट है सामग्री-प्रकार हैडर अज्ञात है, तो सुनिश्चित करें कि प्रत्येक पृष्ठ सामग्री-प्रकार हैडर और एक्स-सामग्री-प्रकार-विकल्प सेट करता है

मुझे नहीं पता कि इसका क्या मतलब है, और मुझे ऑनलाइन कुछ भी नहीं मिला। मैंने जोड़ने की कोशिश की है:

<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" /> 

लेकिन मुझे अभी भी चेतावनी मिलती है

पैरामीटर सेट करने का सही तरीका क्या है?

Solutions Collecting From Web of ""X-content-type-options = nosniff" क्या है?"

यह ब्राउज़र को MIME- प्रकार सूँघने से रोकता है। अधिकांश ब्राउज़र अब क्रोम / क्रोमियम, एज, आईई> = 8.0, फ़ायरफ़ॉक्स> = 50 और ओपेरा> = 13 सहित, इस हैडर का सम्मान कर रहे हैं। देखें:

https://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx?Redirected=true

नया नॉन एक्स-कंटेंट-टाइप-ऑप्शंस रिस्पॉन्स हैडर को मान नोजिफ के साथ भेजा जा रहा है, इंटरनेट एक्सप्लोरर को एमआईएमई-स्लिपिंग से घोषित सामग्री-प्रकार से दूर प्रतिक्रिया देना।

संपादित करें:

ओह, और वह एक HTTP हेडर है, एक HTML मेटा टैग विकल्प नहीं है

इन्हें भी देखें: http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85).aspx

 # prevent mime based attacks Header set X-Content-Type-Options "nosniff" 

यह हेडर "माइम" आधारित हमलों को रोकता है यह हेडर इंटरनेट एक्सप्लोरर को एमआईएमई-स्लिपिंग से घोषित सामग्री-प्रकार से प्रतिक्रिया को रोकता है क्योंकि हेडर ब्राउज़र को प्रतिसाद सामग्री प्रकार को ओवरराइड न करने का निर्देश देता है। नोजिफ़ विकल्प के साथ, यदि सर्वर का कहना है कि सामग्री टेक्स्ट / html है, तो ब्राउज़र इसे टेक्स्ट / html के रूप में प्रस्तुत करेगा

http://stopmalvertising.com/security/securing-your-website-with-.htaccess/.htaccess-http-headers.html

ब्राउज़र्स सामग्री या माइम सूँघने का उपयोग प्रतिक्रिया को ओवरराइड करने के लिए कर सकते हैं सामग्री Content-Type हेडर को अनुमान लगाते हैं और एक निहित सामग्री प्रकार का उपयोग करके डेटा को संसाधित करते हैं। हालांकि यह कुछ परिदृश्यों में सुविधाजनक हो सकता है, लेकिन यह नीचे सूचीबद्ध कुछ हमलों को भी ले सकता है। nosniff सेट X-Content-Type-Options nosniff करने से इंटरनेट एक्सप्लोरर 9, क्रोम और सफ़ारी को दी गई Content-Type का उपयोग करने के लिए और एक अलग सामग्री प्रकार के रूप में सामग्री का व्याख्या नहीं करने का कारण होगा। फ़ायरफ़ॉक्स इस पर विचार कर रहा है

  1. माइम भ्रम की स्थिति उपयोगकर्ता द्वारा जनरेट की गई सामग्री साइटों के जरिए हमलों को सक्षम बनाता है जिससे उपयोगकर्ताओं को दुर्भावनापूर्ण कोड अपलोड किया जाता है जो तब ब्राउज़र द्वारा निष्पादित होते हैं, जो वैकल्पिक सामग्री प्रकार, जैसे application/javascript बनाम text/plain का उपयोग कर फाइलों की व्याख्या करेगा। साइटें जो प्रयोक्ता जनरेट की गई सामग्री को होस्ट करती हैं, उनके उपयोगकर्त्ताओं की रक्षा के लिए इस शीर्ष लेख का उपयोग करना चाहिए। इसका उल्लेख वेराकोड और ओ ओ ए ए ए पी द्वारा किया गया है जो निम्नलिखित कहते हैं:

    इससे उपयोगकर्ता द्वारा अपलोड किए गए अपलोड किए गए हमलों और साइटों को एक्सपोज़र कम कर देता है, जो चालाक नामकरण द्वारा, MSIE द्वारा निष्पादन योग्य या गतिशील HTML फ़ाइलों के रूप में व्यवहार किया जा सकता है।

  2. Content-Type सूँघने से अनधिकृत हॉटलिंकिंग भी सक्षम किया जा सकता है एक उद्देश्य के लिए संसाधनों के साथ साइटों को हॉट-लिंक करके, उदाहरण के लिए, एप सामग्री-प्रकार सूँघने पर निर्भर कर सकते हैं और एक अन्य उद्देश्य के लिए साइटों पर बहुत सारे ट्रैफ़िक उत्पन्न कर सकते हैं जहां यह उनकी सेवा की शर्तों के विपरीत हो सकता है, उदाहरण के लिए गीताहब देखने के लिए जावास्क्रिप्ट कोड प्रदर्शित करता है, लेकिन निष्पादन के लिए नहीं:

    कुछ अशिष्ट गैर-मानव उपयोगकर्ताओं (अर्थात् कंप्यूटर) ने कच्चे दृश्य सुविधा के माध्यम से "हॉटलिंकिंग" संपत्तियों पर ले जाया है – कच्चे यूआरएल का उपयोग <script> या <img> टैग के लिए src रूप में करते हैं। समस्या ये है कि ये स्थिर संपत्ति नहीं हैं कच्चे फ़ाइल दृश्य, एक रेल ऐप में किसी भी अन्य दृश्य की तरह, उपयोगकर्ता को वापस आने से पहले गाया जाना चाहिए। यह तेजी से प्रदर्शन पर एक बड़ा टोल को जोड़ता है। अतीत में हमें लोकप्रिय सामग्री को इस तरह से अवरुद्ध करने के लिए मजबूर किया गया है क्योंकि यह हमारे सर्वर पर अत्यधिक तनाव डालता है।

माइक्रोसॉफ्ट आईआईएस सर्वर के लिए, आप इस हैडर को अपनी web.config फ़ाइल के माध्यम से सक्षम कर सकते हैं:

 <system.webServer> <httpProtocol> <customHeaders> <remove name="X-Content-Type-Options"/> <add name="X-Content-Type-Options" value="nosniff"/> </customHeaders> </httpProtocol> </system.webServer> 

और तुम हो

एक्स-कंटेंट-टाइप-ऑप्शंस का उत्तर HTTP हेडर एक मार्कर है जो यह इंगित करने के लिए सर्वर द्वारा उपयोग किया जाता है कि सामग्री-प्रकार शीर्ष लेखों में विज्ञापित MIME प्रकार को बदला नहीं जाना चाहिए और इसका पालन नहीं किया जाना चाहिए। इससे माइम प्रकार सूँघने से ऑप्ट-आउट करने की अनुमति मिलती है, या, दूसरे शब्दों में, यह कहने का एक तरीका है कि वेबमास्टरों को पता था कि वे क्या कर रहे थे।

वाक्य – विन्यास :

एक्स-कंटेंट-टाइप-ऑप्शंस: नोसेंफ

निर्देश:

nosniff यदि अनुरोध किया गया प्रकार 1. अनुरोध किया गया है तो "शैली" और MIME प्रकार "पाठ / सीएसएस" नहीं है, या 2. "स्क्रिप्ट" और MIME प्रकार एक जावास्क्रिप्ट MIME प्रकार नहीं है।

नोट: nosniff केवल "स्क्रिप्ट" और "शैली" प्रकारों पर लागू होता है इसके अलावा छवियों के लिए nosniff आवेदन मौजूदा वेब साइटों के साथ असंगत हो निकला।

विशिष्टता:

https://fetch.spec.whatwg.org/#x-content-type-options-header