Abo
  • Services:
Anzeige
Eine GIF-Datei mit eingebautem Javascript-Code
Eine GIF-Datei mit eingebautem Javascript-Code (Bild: Screenshot Golem.de)

X-Content-Type-Options: nosniff

Anzeige

Dass dies ein potenzielles Sicherheitsrisiko darstellt, ist schon länger bekannt. Microsoft hat mit dem Internet Explorer 9 einen inoffiziellen Header eingeführt. Setzt der Server den HTTP-Header X-Content-Type-Options: nosniff, so wird dem Browser signalisiert, dass der MIME-Type in jedem Fall respektiert werden soll. Javascript-Code in Bildern wird damit ignoriert.

Inzwischen hat auch Google die Auswertung dieses Headers in Chrome implementiert und es gibt Bemühungen, diesen im Rahmen der WhatWG als Standard zu definieren. Für Firefox gibt es einen experimentellen Patch. Github hat für die Unterstützung in Firefox eine Bounty von 1.000 Dollar ausgeschrieben.

In Tests von Golem.de verhielten sich Chrome und der Internet Explorer in Details unterschiedlich bei der Interpretation des Headers. So war es in Chrome immer noch möglich, ein Bild mit dem falschen MIME-Type anzuzeigen, beispielsweise ein GIF-Bild, welches als image/png ausgeliefert wird. Der Internet Explorer blockiert die Anzeige in diesem Fall. Sicherheitskritisch dürfte dieser Unterschied nicht sein. Ein als image/gif oder mit einem anderen fehlerhaften MIME-Type ausgeliefertes Javascript wurde jedoch von beiden Browsern korrekt blockiert.

Vollständiger Schutz nur mit nosniff

Webentwickler, die sich mittels Content Security Policy vor Cross-Site-Scripting-Angriffen schützen wollen, sollten auf jeden Fall auch den nosniff-Header mitschicken. Nur dann ist der Schutz, den CSP bietet, wirklich vollständig. Zu bedenken ist dabei, dass der Header von der jeweiligen Datei mitgeschickt werden muss. Es reicht also beispielsweise in PHP-Anwendungen nicht, wenn das PHP-Skript in seiner Ausgabe den nosniff-Header mitschickt. Es muss auch dafür gesorgt werden, dass Bilder und andere Dateien jeweils den Header mitsenden. Auf Apache-Webservern kann dies in der Datei .htaccess konfiguriert werden.

 Cross-Site-Scripting: Javascript-Code in Bilder einbetten

eye home zur Startseite
hannob (golem.de) 04. Nov 2014

[...] Sorry, nein: Das ist falsch. Firefox macht genauso Content Sniffing wie die...

neustart 03. Nov 2014

Jap, hab ich auch gedacht. Wenn man die Sicherheitsschlacht irgendwie bewältigen will...

zZz 03. Nov 2014

Ich nutze seit geraumer Zeit die Server Configs aus dem HTML5 Boilerplate Paket und passe...

bjs 03. Nov 2014

bei einem webmail könnte das zb der fall sein. dabei wird html code von unbekannter...



Anzeige

Stellenmarkt
  1. Ebner & Spiegel GmbH, Ulm, deutschlandweit
  2. Fraunhofer-Institut für Bildgestützte Medizin MEVIS | Bremen, Bremen
  3. PHOENIX group IT GmbH, Fürth
  4. p.a. GmbH, Poing


Anzeige
Top-Angebote
  1. 189,00€ (Bestpreis!)
  2. 19,99€ (nur für Prime-Mitglieder)
  3. (Kaufen und Leihen)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. The Legend of Zelda (1986 und 1995)

    Ein Abenteuer-Fundament für die Ewigkeit

  2. Mehr Möbel als Gadget

    Eine Holzfernbedienung für das Smart Home

  3. Der Herr der Ringe

    Schatten des Krieges in Mittelerde angekündigt

  4. Konzeptfahrzeug

    Peugeot Instinct - autonom fahren oder manuell steuern

  5. Später Lesen

    Mozilla übernimmt Hersteller von Pocket

  6. Nokia 3, 5 und 6 im Hands on

    Ein guter Neuanfang ist gemacht

  7. Große Pläne

    SpaceX soll 2018 zwei Weltraumtouristen um den Mond fliegen

  8. Festnetz

    O2 will in Deutschland letzte Meile per Funk überwinden

  9. Robocar

    Roborace präsentiert Roboterboliden

  10. Code.mil

    US-Militär sucht nach Lizenz für externe Code-Beiträge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Trappist-1: Der Zwerg und die sieben Planeten
Trappist-1
Der Zwerg und die sieben Planeten
  1. Weltraumteleskop Erosita soll Hinweise auf Dunkle Energie finden
  2. Astrophysik Ferne Galaxie schickt grelle Blitze zur Erde
  3. Astronomie Vera Rubin, die dunkle Materie und der Nobelpreis

Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

  1. Re: Rückseitiger Sensor

    nightmar17 | 09:15

  2. Re: Donald Trump

    M.P. | 09:15

  3. Schönes Spiel, aber viel zu eintönig.

    Randalmaker | 09:15

  4. Re: Nur 2G?

    My1 | 09:13

  5. Re: Alternativen?

    gadthrawn | 09:11


  1. 09:15

  2. 08:03

  3. 07:54

  4. 07:44

  5. 07:32

  6. 07:00

  7. 00:29

  8. 18:18


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel