1000 FAQ, 500 tutoriales y vídeos explicativos. ¡Aquí sólo hay soluciones!
Desactivar la detección automática del tipo de recurso (MIME-Type sniffing)
Esta guía explica cómo proteger tu sitio web y a sus visitantes contra la explotación maliciosa del MIME-Type sniffing.
Introducción
- El MIME-Type sniffing es una técnica utilizada por los navegadores web para determinar el tipo de contenido de un recurso cuando el tipo MIME proporcionado por el servidor es ambiguo, está ausente o es incorrecto.
- Aunque esto a veces puede mejorar la experiencia del usuario al hacer que el contenido sea accesible a pesar de las configuraciones incorrectas del servidor, esta función también introduce vulnerabilidades de seguridad significativas:
- Cuando un navegador realiza MIME-Type sniffing, puede interpretar un archivo de texto como un script ejecutable, lo que permite posibles ataques de Cross-Site Scripting (XSS). Por ejemplo, un archivo destinado a ser tratado como texto plano podría ser interpretado como JavaScript, permitiendo a un atacante ejecutar código malicioso en el navegador del usuario.
- Deshabilitar el MIME-Type sniffing protege a los visitantes contra la ejecución no autorizada de scripts maliciosos y también refuerza la seguridad general de tu sitio web al reducir los vectores potenciales de ataque.
Deshabilitar MIME-Type Sniffing
Para proteger a los usuarios y aplicaciones web contra este tipo de vulnerabilidades, puedes desactivar la detección automática del tipo de recursos mediante el archivo .htaccess
de tus sitios para indicar al navegador que se adhiera estrictamente al tipo MIME especificado por el servidor sin intentar adivinarlo.
Al colocar el siguiente código en tu archivo .htaccess
, aseguras que el MIME-Type sniffing esté desactivado siempre que el módulo mod_headers
(que permite agregar el encabezado a continuación) esté habilitado en tu servidor Apache:
- Abre el archivo
.htaccess
del sitio afectado desde tu FTP Manager o software cliente FTP. Agrega el siguiente código:
<IfModule mod_headers.c> Header always set X-Content-Type-Options "nosniff" </IfModule>
- Guarda el archivo
.htaccess
.