UGA Boxxx

つぶやきの延長のつもりで、知ったこと思ったこと書いてます

【Webセキュリティ】X-Content-Type-Options

自分のサービスをWebPageTestにかけた結果、セキュリティで重要度は低いがNGがあった

f:id:uggds:20210506110113p:plain:w300

sniffingを防ぐためにレスポンスヘッダーに「X-Content-Type-Options: nosniff」を付与すべきというもの

developer.mozilla.org

IEではContent-Typeに従わずにコンテンツの中を解釈してMIMEタイプ推測するため、例えばコンテンツがJSONであるにも関わらずURLの後ろに.htmlをつけて開くとHTMLとして解釈される

攻撃者がjsonvalue<script>で囲った何らかの処理が書かれている場合にXSSになりうる危険性がある

他にもHTMLを.pngのような画像としてアップしておいて、それをクリックさせるなど

副作用も特にないので、つけておけばよいとわかった