安全头响应头(三)​X-Content-Type-Options

news2024/11/24 3:05:32

一  X-Content-Type-Options响应头

说明:先写个'框架',后续补充

思考:请求类型是 "style" 和 "script" 是什么意思?

                                            script标签  style  StyleSheet

  

 

JavaScript MIME type 

文件扩展和Content-Type的映射关系 

①  基础铺垫

nginx(十八)mime.types的作用

+++++++ "列举CDN一个应用场景:避免nginx默认的Content-Type元数据" +++++++

types {}

default_type '';

特点: 此时'nginx'不返回'Content-Type'响应头,完全由'浏览器'自行判断

②  浏览器默认行为

1) 互联网上的资源有'各种类型',通常浏览器会根据'响应头的Content-Type字段'来'分辨'它们的类型

2) 例如:"text/html"代表html文档、"image/png"是PNG图片、"text/css"是CSS样式文档

3) 然而'有些资源的Content-Type'是'错的'或者'未定义[最常见]'

ps:这时某些浏览器会'启用MIME-sniffing'来'猜测'该资源类型,'解析'内容并'执行' --> "默认"

  1、给一个html文件指定Content-Type为"text/plain",在IE8中会被当做html来解析

  2、利用浏览器的这个特性,攻击者甚至可以让'原本应该解析为图片'的请求被解析为'js'

遗留: X-Content-Type-Options: nosniff  --> "禁用浏览器的类型猜测行为"

+++++++++++++++++++  "案例讲解"  +++++++++++++++++++

 

# 1) 取消nginx'默认'的 mime.types配置
types        { } 

# 2) 指定css文件返回指定content-type      
default_type text/html;  

 

③   问题引入

现象: url请求'.css和.js 静态文件',nginx 返回的Content-Type是'text/html'

chrome '报错':

  1、Refused to execute script from 'xxx.js' 

  2、because its MIME type ('text/html') is not executable,

  3、and strict MIME type checking is enabled

强调:作为'运维人员',尽可能的'保留'和'还原'案发的'事故'现场

根因: 
  
  1、报错原因是'加载的css、js文件'

  2、返回的Content-Type为'text/html'  --> "之各是从哪里来的?"

  3、与文件的'类型.js、.css'不匹配,导致文件被'block 禁止'加载了

疑惑:为什么没有根据'mine.type'返回正确的'Content-Type'?

现象及其相似 

index.html 'meta text/html' 中通过'<script src="js/min.wzj.js">'相对路径'加载'文件

补充:nginx的'配置'和chrome的'报错'

location ~* min.wzj.js$ {

   alias /home/kiosk/WebstormProjects/form/js/min.wzj.js 

}

location和alias的搭配问题 

1、原因:是不是'原来'是好的,然后加了'安全加固'造成的

 add_header X-Content-Type-Options: nosniff

2、观察: 是'nginx返回静态资源'还是后端'返回'的

  通过'$upstream_addr'或'sent_http_content_type'判断

  备注:对比'$upstream_http_content_type'和'sent_http_content_type' -->"加工处理"

  补充: 定义一个'独一无二的响应头[加always]'放到对应的location中,看'到底生效了没'?

3、排错

  1、如果是'后端返回错误的Content-Type',nginx如何能拦截?

  2、如果是'nginx自身返回错误的Content-Type',如何排查呢?

  3、​诡异: nginx把'图片'识别为'text/html',加了add_header都'不管用'

4、遗留: nginx是根据'$request_uri'还是'$uri' 是查找'静态'资源?
一个'.jpg的图片文件'被恶意嵌入了可执行的'js'代码

相关配置说明

default_type 'text/html';

add_header 显示添加是不是影响default_type
​
思考:Accept和content-type协商'不一致'

​思考:如果Content-Type(请求头)只有有限的几个,与响应头(Content-Type)协商不一致呢

探究:原来虽然配置了安全头,但是'add_header'作用域覆盖了,或者没有生效

④  参考链接

css 的content-type为"text/html" 不是 "text/css" html兼容性

解决css文件返回格式Content-TYpe为text/html问题

php-fpm处为通配符"/",使得所有请求均会被php-fpm处理,导致css文件的响应头出错

浏览器strict MIME type checking问题处理

为 CSS 设置正确的 Content-Type

Java Web 发送请求 CSS文件 和 JS文件引用失败

⑤⑥

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/879675.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Kali Linux助您网络安全攻防实战

Kali Linux&#xff1a;黑客与防御者的神器 Kali Linux是一款专为网络安全测试和攻防实践而设计的操作系统。它汇集了大量的安全工具&#xff0c;可以用于渗透测试、漏洞扫描、密码破解等任务&#xff0c;不仅为黑客提供了强大的攻击能力&#xff0c;也为安全防御者提供了测试和…

每日一题 25K个一组翻转链表

题目 给你链表的头节点 head &#xff0c;每 k 个节点一组进行翻转&#xff0c;请你返回修改后的链表。 k 是一个正整数&#xff0c;它的值小于或等于链表的长度。如果节点总数不是 k 的整数倍&#xff0c;那么请将最后剩余的节点保持原有顺序。 你不能只是单纯的改变节点内…

继承和多态C++

这里写目录标题 继承public、protected、private 修饰类的成员public、protected、private 指定继承方式改变访问权限 C继承时的名字遮蔽问题基类成员函数和派生类成员函数不构成重载C基类和派生类的构造函数构造函数的调用顺序基类构造函数调用规则 C基类和派生类的析构函数C多…

我的创作纪念日(256天)

前言 结缘 我与csdn的结缘&#xff0c;之前在创作纪念日&#xff08;128天&#xff09;便已提到&#xff0c;今在此便不再多言 收获 很惭愧&#xff0c;自六月底至八月中旬&#xff0c;因为忙于找工作&#xff0c;奔赴面试求职之际&#xff0c;写博客没有像之前那么勤&#x…

JetPack Compose 学习笔记(持续整理中...)

1.为什么要学&#xff1f; 1.命令式和声明式 UI大战,个人认为命令式UI自定义程度较高,能更深入到性能,内存优化方面,而申明式UI 是现在主流的设计,比如React,React Native,Flutter,Swift UI等等,现在性能也逐渐在变得更好 2.还有一个原因compose 是KMM 是完整跨平台的UI基础 3.…

企业内部知识问答系统面临的挑战及解决方案;小米开启AI大模型内测版本

&#x1f989; AI新闻 &#x1f680; 小米宣布未来五年投入1000亿元&#xff0c;开启AI大模型内测版本 摘要&#xff1a;在小米雷军年度演讲上&#xff0c;小米宣布未来五年将投入1000亿元人民币用于技术研发&#xff0c;同时公布了AI大模型内测版本的邀请测试。该内测版本将…

Java算法_ 二叉树的最大深度(LeetCode_Hot100)

题目描述&#xff1a;给定一个二叉树 &#xff0c;返回其最大深度。root 二叉树的 最大深度 是指从根节点到最远叶子节点的最长路径上的节点数。 获得更多&#xff1f;算法思路:代码文档&#xff0c;算法解析的私得。 运行效果 完整代码 /*** 2 * Author: LJJ* 3 * Date: 2023/…

python篇---提取VOC格式的坐标,并按照cameraID进行排序

python篇—提取VOC格式的坐标&#xff0c;并按照cameraID进行排序 from datetime import datetime import xml.etree.ElementTree as ET import ossets [("images")] # fixme: 所对应的标签 classes ["2"] IMAGE_PATH "./saves/{}.txt" DATA…

穿上App外衣,保持Web灵魂——PWA温故

穿上App的外衣&#xff0c;保持Web的灵魂—— PWA 早在2015年&#xff0c;设计师弗朗西斯贝里曼和Google Chrome的工程师亚历克斯罗素提出“PWA&#xff08;渐进式网络应用程序&#xff09;”概念&#xff0c;将网络之长与应用之长相结合&#xff0c;其核心目标就是提升 Web Ap…

无涯教程-Perl - send函数

描述 此函数在SOCKET上发送消息(与recv相反)。如果Socket未连接,则必须提供一个目标以与TO参数进行通信。在这种情况下,将使用sendto系统功能代替系统发送功能。 FLAGS参数由按位或0以及MSG_OOB和MSG_DONTROUTEoptions中的一个或多个形成。 MSG_OOB允许您在支持此概念的Socke…

知兵之将,是国家的宝贝呀

知兵之将&#xff0c;是国家的宝贝呀 【安志强趣讲《孙子兵法》第9讲】 【原文】 故智将务食于敌。食敌一钟&#xff0c;当吾二十钟&#xff1b;芑&#xff08;qǐ &#xff09;秆一石&#xff08;dan&#xff09;&#xff0c;当吾二十石。 【注释】 钟&#xff1a;古代容量单位…

力扣:62. 不同路径(Python3)

题目&#xff1a; 一个机器人位于一个 m x n 网格的左上角 &#xff08;起始点在下图中标记为 “Start” &#xff09;。 机器人每次只能向下或者向右移动一步。机器人试图达到网格的右下角&#xff08;在下图中标记为 “Finish” &#xff09;。 问总共有多少条不同的路径&…

MFC编程基础

一、MFC类库简介 ●微软基础类库( Microsoft Foundation Classes, MFC )是Microsoft公司提供的关于Win32 API的C类库集&#xff0c;它定义了一个标准的应用程序框架。 ●借助这个框架,用户可以轻松地开发标准的Windows应用程序。 ●MFC实现了标准的用户…

【论文简介】PP-OCRv1-v4中文字符识别论文概述

相关论文 2009.PP-OCR: A Practical Ultra Lightweight OCR System 2109.PP-OCRv2: Bag of Tricks for Ultra Lightweight OCR System 2206.PP-OCRv3: More Attempts for the Improvement of Ultra Lightweight OCR System 2308.PP-OCRv4&#xff1a;目前代码已发布&#xff08…

【计算机视觉|生成对抗】带条件的对抗网络进行图像到图像的转换(pix2pix)

本系列博文为深度学习/计算机视觉论文笔记&#xff0c;转载请注明出处 标题&#xff1a;Image-to-Image Translation with Conditional Adversarial Networks 链接&#xff1a;Image-to-Image Translation with Conditional Adversarial Networks | IEEE Conference Publicati…

EnableAutoConfiguration Attributes should be specified via @SpringBootApplic

在排除数据源加载时&#xff0c;发现这个注解EnableAutoConfiguration(exclude{DataSourceAutoConfiguration.class})会飘红 这是因为在SpringBootApplication中已经有EnableAutoConfiguration注解了&#xff1b; 所以把它改写成以下的格式即可

c# 异步进阶———— paralel

前言 简单整理一下paralel&#xff0c;以上是并行的意思。 正文 我们在工作中常常使用task await 和 async&#xff0c;也就是将线程池进行了封装&#xff0c;那么还有一些更高级的应用。 是对task的封装&#xff0c;那么来看下paralel。 static void Main(string[] args)…

猿辅导Motiff与IXDC达成战略合作,将在UI设计领域推动AI革新更多可能性

近日&#xff0c;“IXDC 2023国际体验设计大会”在北京国家会议中心拉开序幕&#xff0c;3000设计师、1000企业、200全球商业领袖&#xff0c;共襄为期5天的用户体验创新盛会。据了解&#xff0c;此次大会是以“设计领导力”为主题&#xff0c;分享全球设计、科技、商业的前沿趋…

如何手动创建可信任证书DB并配置 nss-config-dir

以阿里云免费邮箱为例 1. 如何下载证书链 证书链说明 使用 gnutls gnutls-cli --print-cert smtp.aliyun.com:465 < /dev/null > aliyun-chain.certs使用 openssl showcerts $ echo -n | openssl s_client -showcerts -connect smtp.aliyun.com:465 | sed -ne /-BE…