安全修复之Web——HTTP X-Content-Type-Options缺失
背景
日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。
同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。
开发环境
- 系统:windows10
- 语言:Golang
- golang版本:1.18
内容
安全预警
HTTP X-Content-Type-Options缺失
安全限定:
HTTP X-Content-Type-Options 可以对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件。
启用方式:
nginx中增加如下配置:
location / {
...
add_header X-Content-Type-Options nosniff;
...
}
注意:该项设置可能会导致IE9及以上版本拒绝加载没有返回Content-Type的资源,因此需要在业务服务端响应时均进行返回响应头。
本文声明:
88x31.png
知识共享许可协议
本作品由 cn華少 采用 知识共享署名-非商业性使用 4.0 国际许可协议 进行许可。
网友评论