web安全:x-content-type-options头设置

参考资料:http://www.jackieathome.net/archives/369.html

http://blog.51cto.com/volvo9yue/1903432

 

如果服务器发送响应头 "X-Content-Type-Options: nosniff",则 script 和 styleSheet 元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。

 

简单理解为:通过设置"X-Content-Type-Options: nosniff"响应标头,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件

服务器发送含有 "X-Content-Type-Options: nosniff" 标头的响应时,此更改会影响浏览器的行为。

 

如果通过 styleSheet 参考检索到的响应中接收到 "nosniff" 指令,则 Windows Internet Explorer 不会加载“stylesheet”文件,除非 MIME 类型匹配 "text/css"。

如果通过 script 参考检索到的响应中接收到 "nosniff" 指令,则 Internet Explorer 不会加载“script”文件,除非 MIME 类型匹配以下值之一:

 

  • "application/ecmascript"

  • "application/javascript"

  • "application/x-javascript"

  • "text/ecmascript"

  • "text/javascript"

  • "text/jscript"

  • "text/x-javascript"

  • "text/vbs"

  • "text/vbscript"

posted @ 2021-05-30 14:03  一颗桃子t  阅读(3897)  评论(0编辑  收藏  举报