日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

X-Content-Type-Options 是什么？

X-Content-Type-Options 是一種 HTTP 響應(yīng)頭，用于控制瀏覽器是否應(yīng)該嘗試 MIME 類(lèi)型嗅探。如果啟用了 X-Content-Type-Options，瀏覽器將遵循服務(wù)器提供的 MIME 類(lèi)型，用于防止瀏覽器執(zhí)行 MIME 類(lèi)型錯(cuò)誤的響應(yīng)體（response body）。

10年積累的成都網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶(hù)對(duì)網(wǎng)站的新想法和需求。提供各種問(wèn)題對(duì)應(yīng)的解決方案。讓選擇我們的客戶(hù)得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先制作網(wǎng)站后付款的網(wǎng)站建設(shè)流程，更有安定免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

如果在http響應(yīng)頭中指定的 Content-Type 與實(shí)際響應(yīng)體返回的 MIME 類(lèi)型不一致，這種情況下瀏覽器可能會(huì)忽略響應(yīng)頭中指定的Content-Type，執(zhí)行實(shí)際響應(yīng)體的 MIME 類(lèi)型，造成安全風(fēng)險(xiǎn)，而設(shè)置 X-Content-Type-Options 就是為了避免這種類(lèi)型的安全風(fēng)險(xiǎn)。

如何設(shè)置 X-Content-Type-Options ？

在服務(wù)器端（前后端分離的場(chǎng)景下，只需要在前端站點(diǎn)所在服務(wù)器配置即可，如果前后端在一起的話在項(xiàng)目所在服務(wù)器配置）的代碼或反向代理服務(wù)配置中添加 X-Content-Type-Options 頭即可。

以 nginx為例，在 nginx.conf 文件中添加以下行：

add_header X-Content-Type-Options nosniff;

以 apache為例，在 .htaccess 文件中添加以下行：

Header set X-Content-Type-Options "nosniff"

響應(yīng)頭 key 是 X-Content-Type-Options，值為 nosniff。這個(gè)配置是告訴瀏覽器禁止執(zhí)行與 Content-Type 指定的類(lèi)型不一致的響應(yīng)內(nèi)容，不要嘗試從文件擴(kuò)展名或文件內(nèi)容中推斷出文件類(lèi)型，從而避免了內(nèi)容嗅探所帶來(lái)的安全風(fēng)險(xiǎn)。

X-Content-Type-Options 應(yīng)用場(chǎng)景

主要用于防范 XSS（跨站腳本攻擊）和 snippet-injection 攻擊。snippet-injection 攻擊是指把 HTML 代碼嵌入到非 HTML 內(nèi)容，瀏覽器會(huì)讀取并解析該內(nèi)容。這可能導(dǎo)致XSS攻擊或著被誤導(dǎo)到包含惡意代碼的站點(diǎn)。

看個(gè)例子

下面是一段使用了 X-Content-Type-Options 響應(yīng)頭的代碼：

HTTP/1.1 200 OK
Content-Type: text/html;charset=utf-8
X-Content-Type-Options: nosniff

通過(guò)在響應(yīng)頭中添加 X-Content-Type-Options: nosniff，告訴瀏覽器只能執(zhí)行 MIME 為 text/html 的響應(yīng)內(nèi)容，將阻止瀏覽器執(zhí)行 JavaScript 代碼。

標(biāo)題名稱(chēng)：Web安全之充分利用X-Content-Type-Options
網(wǎng)址分享：http://m.5511xx.com/article/ccojcoe.html