Sto facendo un po 'di test di penetrazione sul mio localhost con OWASP ZAP, e mantiene segnalato il messaggio:Che cos'è "X-Content-Type-Options = nosniff"?
L'intestazione Anti-MIME-Fiuto X-Content-Type-Options non è stato impostato su 'NOSNIFF'
Questo controllo è specifico per Internet Explorer 8 e Google Chrome. Assicurarsi che ogni pagina imposta un header Content-Type e le X-Content-Type-OPTIONS se l'intestazione Content-Type è sconosciuto
Non ho idea di che cosa questo significa, e non ho trovato nulla in linea . Ho provato ad aggiungere:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
ma ho ancora l'avviso.
Qual è il modo corretto di impostare il parametro?
Devi contare che è 'per i server che ospitano content' non attendibile. Per i siti web che non visualizzano contenuti dai caricamenti degli utenti, non è necessario impostarli. – machineaddict
@machineaddict, ** Wrong **. Lo sniffing avverrà indipendentemente dal fatto che il contenuto sia attendibile o non affidabile. Vedi http://security.stackexchange.com/a/11761/2379. Distruggerà il tuo sito in modo sottile. Disattiva sempre lo sniffing se non ti piacciono le sorprese. – Pacerier
Penso che ti sia persa la parte "Qual è lo sniffing di tipo MIME?" –