1000 FAQ, 500 Anleitungen und Lernvideos. Hier gibt es nur Lösungen!
Automatische Ressourcentyp-Erkennung (MIME-Type-Sniffing) deaktivieren
Diese Anleitung erklärt, wie Sie Ihre Website und deren Besucher vor der bösartigen Ausnutzung von MIME-Type Sniffing schützen können.
Einleitung
- MIME-Type Sniffing ist eine Technik, die von Webbrowsern verwendet wird, um den Inhaltstyp einer Ressource zu bestimmen, wenn der vom Server bereitgestellte MIME-Typ mehrdeutig, fehlend oder falsch ist.
- Obwohl dies manchmal das Benutzererlebnis verbessern kann, indem es den Zugriff auf Inhalte trotz Serverkonfigurationsfehlern ermöglicht, führt diese Funktion auch zu erheblichen Sicherheitsanfälligkeiten:
- Wenn ein Browser MIME-Type Sniffing durchführt, kann er eine Textdatei als ausführbares Skript interpretieren, was möglicherweise Cross-Site-Scripting (XSS) Angriffe ermöglicht. Beispielsweise könnte eine Datei, die als reiner Text behandelt werden soll, als JavaScript interpretiert werden, wodurch ein Angreifer schadhaften Code im Browser des Nutzers ausführen kann.
- Durch das Deaktivieren von MIME-Type Sniffing schützen Sie die Besucher vor unbefugter Skriptausführung und stärken auch die allgemeine Sicherheit Ihrer Website, indem Sie potenzielle Angriffsvektoren reduzieren.
MIME-Type Sniffing deaktivieren
Um Benutzer und Webanwendungen vor dieser Art von Sicherheitsanfälligkeiten zu schützen, können Sie die automatische Ressourcenerkennung über die .htaccess-Datei Ihrer Websites deaktivieren, um dem Browser anzuweisen, sich strikt an den vom Server angegebenen MIME-Typ zu halten, ohne zu versuchen, ihn zu erraten.
Durch das Einfügen des folgenden Codes in Ihre .htaccess
-Datei stellen Sie sicher, dass MIME-Type Sniffing deaktiviert ist, solange das mod_headers
-Modul (das das Hinzufügen des folgenden Headers ermöglicht) auf Ihrem Apache-Server aktiviert ist:
- Öffnen Sie die
.htaccess
-Datei der betroffenen Website über Ihren FTP-Manager oder FTP-Client. Fügen Sie den folgenden Code hinzu:
<IfModule mod_headers.c> Header always set X-Content-Type-Options "nosniff" </IfModule>
- Speichern Sie die
.htaccess
-Datei.