1000 FAQ, 500 tutorial e video esplicativi. Qui ci sono delle soluzioni!
Disattivare il rilevamento automatico del tipo di risorsa (MIME-Type sniffing)
Questa guida spiega come proteggere il tuo sito web e i suoi visitatori dall'esploitazione malevola del MIME-Type sniffing.
Introduzione
- Il MIME-Type sniffing è una tecnica utilizzata dai browser web per determinare il tipo di contenuto di una risorsa quando il tipo MIME fornito dal server è ambiguo, mancante o errato.
- Anche se a volte questo può migliorare l'esperienza dell'utente rendendo il contenuto accessibile nonostante errori di configurazione del server, questa funzionalità introduce anche vulnerabilità di sicurezza significative:
- Quando un browser esegue il MIME-Type sniffing, può interpretare un file di testo come uno script eseguibile, aprendo la porta ad attacchi Cross-Site Scripting (XSS). Ad esempio, un file destinato ad essere trattato come testo normale potrebbe essere interpretato come JavaScript, permettendo a un attaccante di eseguire codice malevolo nel browser dell'utente.
- Disabilitando il MIME-Type sniffing, proteggi i visitatori dall'esecuzione non autorizzata di script malevoli e rafforzi anche la sicurezza complessiva del tuo sito web riducendo i vettori potenziali di attacco.
Disabilitare il MIME-Type Sniffing
Per proteggere gli utenti e le applicazioni web da questo tipo di vulnerabilità , è possibile disabilitare la rilevazione automatica del tipo di risorsa tramite il file .htaccess
dei tuoi siti per indicare al browser di attenersi strettamente al tipo MIME specificato dal server senza tentare di indovinarlo.
Inserendo il seguente codice nel tuo file .htaccess
, assicuri che il MIME-Type sniffing sia disabilitato finché il modulo mod_headers
(che consente di aggiungere l'intestazione sottostante) è attivato sul tuo server Apache:
- Apri il file
.htaccess
del sito interessato tramite il tuo FTP Manager o software client FTP. Aggiungi il seguente codice:
<IfModule mod_headers.c> Header always set X-Content-Type-Options "nosniff" </IfModule>
- Salva il file
.htaccess
.