安全技术研究ContentTypeHeaders缺失
介绍
现代浏览器可以猜测响应的内容类型,即使它没有实际的content - type头。此外,即使Content-Type头已经就位,浏览器也不一定会遵从设定的Header的值。这种猜测是通过驻留在大多数浏览器中的一个称为mime -sniffing的固有函数实现的。尽管引入mime -sniffing是为了在缺乏头文件定义的情况下促进功能,但默认情况下启用的mime -sniffing可以促进发现某些条件下的跨站点脚本(XSS)。
假设一个web应用程序允许其用户上传图像文件,而这些文件又通过某个端点提供服务。如果它们没有任何Content-Type头,那么攻击者可能会上传包含恶意JavaScript代码的HTML文档来代替合法图像。一旦完成,下一步将是获取服务恶意HTML页面的直接URL,该页面将被传递给下一个不知情的受害者,最终导航到该页面。
影响及危害
缺少Content-Type报头,或者至少配置错误,会导致上面所写的XSS攻击。因此,影响的规模取决于web应用程序受到XSS攻击的能力和敏感性,而XSS攻击是由于Content-Type错误配置而启用的……
如何防护
为了防止由于无效或缺少Content-Type头而发生mime-sniffing错误,开发人员必须:
根据所服务的文件提供有效的Content-Type头
将X-Content-Type-Options报头设置为nosniff,这样浏览器就不会尝试猜测内容类型。
验证每个HTTP响应都包含一个Content-Type报头。 text/*, /+xml和application/xml内容类型也应该指定一个安全字符集(例如UTF-8, ISO-8859-1)。
催化诱导硫化锂的电子结构转变研究取得新进展中国网中国发展门户网讯近日,中国科学院金属研究所科研人员在前期高效锂硫电池催化剂研究的基础上,提出了筛选锂硫电池催化剂的新策略。通过诱导吸附于催化剂表面的硫化锂的电子结构绝缘金属性
大英博物馆里不属于英国的国宝级文物,每一个都是无价之宝大英博物馆,一个除了名字以外,几乎其他东西都不属于英国的博物馆。大英博物馆拥有藏品800多万件,其中展出的仅为1左右,并且大多数都是从世界各地劫掠而来的。近些年来,要求大英博物馆归
罕见奇观!这张狐狸脸太震撼来源江阴日报江阴网今年7月有摄影师在新疆库木库里沙漠用无人机记录下神奇一幕两汪湖水,一道沙梁,从高空俯瞰宛如正在凝视天空的沙漠之狐,据了解库木库里沙漠干旱少雨一场强降雨过后出现了这
罕见的历史照片,会让你不寒而栗从未解之谜到富人和名人从未见过的照片,这个多合一的画廊将带给您所有的感觉。我们用罕见的图像突出了历史上最美好的时刻,这些图像将永远改变您看待过去的方式。如果你喜欢历史,我们有一张最
特拉斯来了,英国新首相即将出炉对,你没看错,我说的是特拉斯,不是马斯克的特斯拉电动汽车。特拉斯这个特拉斯是目前英国首相候选人,她的竞争对手是印裔的苏纳克,也是热门人选,尤其印度血统光环。苏那克这两位各有特点,特
深度分析国乒女队为何采用罕见选拔规则?伊藤美诚改变了什么?2022年成都世乒赛正在步步逼近,目前国乒男队的名单已经出炉,其中第五人林高远完全是凭借队内选拔赛第一名的成绩而获得的,这也算是惯例女队虽然已经打完了选拔赛,但第五人却并未确定,因
白露吃3宝,不把医生找,9月7号白露,3宝是啥?咋做才好吃白露吃3宝,不把医生找,9月7号白露,3宝是啥?咋做才好吃。哈喽,大家好,我是大厨江一舟,今天又到了和大家分享美食的时刻了,你准备好了吗?时间过得真快,9月7号马上就要到24节气当
9月6号排列五第22239期规律走势图推荐数据芝麻参考千位12345679重点1234579百位12345689重点1234689十位01234789重点0124789个位01346789重点0136789仅供参考,码无绝对,对错勿怪
人可以卑微到什么程度?从卑微到抑郁的孤独女孩自述17岁,我从农村来到城市读大学,土里土气,又有些自以为是的骄傲。直到现在,我才明白一个道理,或许坐井观天也是一种幸福,正所谓无知无畏,禁足于自我满足致终何尝不是一种美满和幸福。大学
中医养生身上筋结散,体内百病除筋长一寸,延寿十年!什么是筋结?筋脉遍布全身,联系带动骨关节运动,人一老就会弯腰驼背,手上脚上出现筋疙瘩,按上去隐隐作痛,这就是中医称作筋结。还有一个更加直观的现象是,年轻的时候1
中医说的痰是什么?红痰绿痰黄痰灰痰,都预示哪些疾病不少人只要咳嗽就会有痰,咳出痰不一样,通常是透明痰脓性黏液痰,有时痰液中带血。一提到痰液人们就非常恶心,但这是肺部健康的外在表现,通过观察痰液的质地颜色和量气味等来初步判断疾病。最