هدر X-Content-Type چیست؟

sina yeganeh

2020-05-07
10 دقیقه
دسته بندی :

هدر X-Content-Type چیست؟

خطرات امنیتی مبتنی بر وب در عصر تکنولوژیک امروزی کاملاً رواج دارد. بنابراین ، اجرای برخی اقدامات امنیتی برای کمک به جلوگیری از به خطر افتادن وب سایت شما توسط یک مهاجم ، بسیار مهم است. X-Content-Type-Options یک هدر HTTP است که برای انجام این کار استفاده می شود تا امنیت وب سایت شما را افزایش دهد. در این پست آنچه که باید در مورد چگونگی عملکرد هدر
X-Content-Type-Options و چگونگی کار کردن به راحتی در چند مرحله به وب سرور خود بدانید توضیح داده می شود.

X-Content-Type-Options چگونه کار می کند؟

از هدر X-Content-Type-Options برای محافظت در برابر آسیب پذیری های مضراب MIME استفاده می شود. این آسیب پذیری ها ممکن است زمانی ایجاد شود که یک وب سایت به کاربران امکان بارگذاری مطالب را در یک وب سایت بدهد ، اما کاربر نوع پرونده خاصی را به عنوان چیز دیگری تغییر داده است. این می تواند به آنها فرصتی برای انجام برنامه نویسی cross-site و به خطر انداختن وب سایت بدهد.

با این حال ، این هدر امنیتی با غیرفعال کردن عملکرد sniffing MIME از مرورگرهای اینترنت اکسپلورر و IE به Chrome کمک می کند تا مرورگر موظف باشد از نوع MIME ارسال شده از طریق سرور مبدا استفاده کند. مثال زیر را در مورد نحوه کار X-Content-Type-Options برای یک درخواست وب خاص در نظر بگیرید.

  • یک مشتری Chrome برای یک دارایی (به عنوان مثال image.jpg) به یک سرور وب درخواست می کند.
  • پاسخی با عنوان X-Content-Type- گزینه ها ارسال می شود: nosniff. این کار باعث می شود مشتری از درخواست “sniffing” امتحان کند و تعیین کند که آیا نوع پرونده چیز دیگری غیر از آنچه توسط سرور اعلام شده است نیست.
  • سپس مرورگر نوع MIME تعریف شده توسط سرور مبدا را می پذیرد و درخواست را به بیننده نشان می دهد.

با اضافه کردن هدر X-Content-Type-Options  جلوی چه حملاتی گرفته می شود؟

متأسفانه ، هدر X-Content-Type-Options: nosniff از تمام آسیب پذیری های مربوط به sniffing محافظت نمی کند. همانطور که قبلاً نیز اشاره شد ، این هدر در حال حاضر فقط از Chrome و نسخه های خاصی از Internet Explorer مورد تقدیر قرار گرفته است. بنابراین ، اگر یک مرورگر پشتیبانی نشده به یک دارایی دسترسی پیدا کند که این هدر پاسخ ویژه را ارسال کند ، هیچ اثری نخواهد داشت.

به طور مشابه ، اگر از افزونه یا ماژول هایی (به عنوان مثال Flash) برای واکشی منابع استفاده شود و همچنین از این هدر امنیتی پشتیبانی نمی کند ، در آن سناریو نیز هیچ محافظتی نخواهد داشت.

فعال کردن هدر X-Content-Type-Options

برای فعال کردن این هدر امنیتی در سرور اصلی شما کاملاً آسان است و فقط در دو مرحله می توانید انجام دهید. بسته به اینکه وب سرور مورد استفاده شما تعیین کند کدام قطعه را باید به پرونده پیکربندی سرور خود اضافه کنید. در بخش زیر مواردی که باید به سرورهای وب Nginx و Apache اضافه شود ، بیان می کند.

Nginx

برای کاربران Nginx ، قطعه زیر را به پرونده .conf خود اضافه کنید. پس از اتمام ، تغییرات خود را ذخیره کنید و Nginx را مجددا بارگذاری کنید.


add_header X-Content-Type-Options “nosniff”

Apache

برای کاربران Apache ، کافیست قطعه زیر را به پرونده .htaccess خود اضافه کنید. پس از اتمام ، تغییرات خود را ذخیره کنید.


add_header X-Content-Type-Options “nosniff”

فعال کردن وب سرور خود برای ارائه هدر X-Content-Type-Options کاملاً ساده است. اگرچه این هدر امنیت وب در حال حاضر از همه انواع حملات XSS محافظت نمی کند ، اما اجرای آن بسیار آسان است و مطمئناً گامی در جهت درست به سمت وب سایت ایمن تر است.

برچسب ها:
اشتراک گذاری: