本文概述
- Apache和IBM HTTP Server
- Nginx Web服务器
- 共享托管中的实施
【使用X-Content-Type-Options在Apache和Nginx中保护MIME类型】Web服务器提供的每个资源都与MIME类型(也称为内容类型)相关联。
你可以执行样式表, 并通过内容类型不匹配的方法从另一个网站窃取内容。你可以通过在标头中添加nosniff来防止Internet Explorer或Google Chrome中的此漏洞。
在此快速指南中, 我将说明如何在Apache HTTP, Nginx, IHS和共享托管中添加X-Content-Type-Options标头, 以降低MIME类型的攻击风险。
一些事情
- 如果出现问题, 请备份现有配置文件以进行还原。
- 要验证标头响应, 你可以使用HTTP标头检查器联机工具。
- 如果你使用的是基于云的安全保护(如SUCURI), 则不必担心, 因为默认情况下已启用此功能。
- 修改httpd.conf文件, 并确保启用了mod_headers.so。以下行应不加注释。
LoadModule headers_module modules/mod_headers.so- 添加以下参数
Header set X-Content-Type-Options nosniff- 保存配置文件, 然后重新启动Apache以生效。
文章图片
Nginx Web服务器
- 在服务器块下的nginx.conf中添加以下参数
add_header X-Content-Type-Options nosniff;
- 保存nginx.conf文件, 然后重新启动Nginx以查看结果。
- 登录到你的cPanel并转到文件管理器
- 修改.htaccess文件并添加以下内容
Header set X-Content-Type-Options nosniff- 保存文件并刷新页面以查看结果。
推荐阅读
- 为什么以及如何保护API端点()
- 使用Set-Cookies安全标志保护Tomcat
- 如何自动扫描网站安全漏洞()
- 8种最佳机密管理软件,可提高应用程序安全性
- 我被迫使用Apple In-App Purchase API
- 如何从Android Google Play中删除测试IAP购买
- Google Apps脚本传递网址参数Google信息中心
- 使用Appscript将Google图表中的3d图表作为图像插入电子邮件中
- BaseObject可以有NSObject,Mappable和Object swift