日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

X-Content-Type-Options 是什么？

X-Content-Type-Options 是一種 HTTP 響應(yīng)頭，用于控制瀏覽器是否應(yīng)該嘗試 MIME 類型嗅探。如果啟用了 X-Content-Type-Options，瀏覽器將遵循服務(wù)器提供的 MIME 類型，用于防止瀏覽器執(zhí)行 MIME 類型錯誤的響應(yīng)體（response body）。

10年積累的成都網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)經(jīng)驗(yàn)，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你，你也不認(rèn)識我。但先制作網(wǎng)站后付款的網(wǎng)站建設(shè)流程，更有安定免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

如果在http響應(yīng)頭中指定的 Content-Type 與實(shí)際響應(yīng)體返回的 MIME 類型不一致，這種情況下瀏覽器可能會忽略響應(yīng)頭中指定的Content-Type，執(zhí)行實(shí)際響應(yīng)體的 MIME 類型，造成安全風(fēng)險(xiǎn)，而設(shè)置 X-Content-Type-Options 就是為了避免這種類型的安全風(fēng)險(xiǎn)。

如何設(shè)置 X-Content-Type-Options ？

在服務(wù)器端（前后端分離的場景下，只需要在前端站點(diǎn)所在服務(wù)器配置即可，如果前后端在一起的話在項(xiàng)目所在服務(wù)器配置）的代碼或反向代理服務(wù)配置中添加 X-Content-Type-Options 頭即可。

以 nginx為例，在 nginx.conf 文件中添加以下行：

add_header X-Content-Type-Options nosniff;

以 apache為例，在 .htaccess 文件中添加以下行：

Header set X-Content-Type-Options "nosniff"

響應(yīng)頭 key 是 X-Content-Type-Options，值為 nosniff。這個配置是告訴瀏覽器禁止執(zhí)行與 Content-Type 指定的類型不一致的響應(yīng)內(nèi)容，不要嘗試從文件擴(kuò)展名或文件內(nèi)容中推斷出文件類型，從而避免了內(nèi)容嗅探所帶來的安全風(fēng)險(xiǎn)。

X-Content-Type-Options 應(yīng)用場景

主要用于防范 XSS（跨站腳本攻擊）和 snippet-injection 攻擊。snippet-injection 攻擊是指把 HTML 代碼嵌入到非 HTML 內(nèi)容，瀏覽器會讀取并解析該內(nèi)容。這可能導(dǎo)致XSS攻擊或著被誤導(dǎo)到包含惡意代碼的站點(diǎn)。

看個例子

下面是一段使用了 X-Content-Type-Options 響應(yīng)頭的代碼：

HTTP/1.1 200 OK
Content-Type: text/html;charset=utf-8
X-Content-Type-Options: nosniff

通過在響應(yīng)頭中添加 X-Content-Type-Options: nosniff，告訴瀏覽器只能執(zhí)行 MIME 為 text/html 的響應(yīng)內(nèi)容，將阻止瀏覽器執(zhí)行 JavaScript 代碼。

文章題目：Web安全之充分利用X-Content-Type-Options
URL網(wǎng)址：http://www.dlmjj.cn/article/ccojcoe.html