Abo
  • Services:
Anzeige
Eine GIF-Datei mit eingebautem Javascript-Code
Eine GIF-Datei mit eingebautem Javascript-Code (Bild: Screenshot Golem.de)

X-Content-Type-Options: nosniff

Anzeige

Dass dies ein potenzielles Sicherheitsrisiko darstellt, ist schon länger bekannt. Microsoft hat mit dem Internet Explorer 9 einen inoffiziellen Header eingeführt. Setzt der Server den HTTP-Header X-Content-Type-Options: nosniff, so wird dem Browser signalisiert, dass der MIME-Type in jedem Fall respektiert werden soll. Javascript-Code in Bildern wird damit ignoriert.

Inzwischen hat auch Google die Auswertung dieses Headers in Chrome implementiert und es gibt Bemühungen, diesen im Rahmen der WhatWG als Standard zu definieren. Für Firefox gibt es einen experimentellen Patch. Github hat für die Unterstützung in Firefox eine Bounty von 1.000 Dollar ausgeschrieben.

In Tests von Golem.de verhielten sich Chrome und der Internet Explorer in Details unterschiedlich bei der Interpretation des Headers. So war es in Chrome immer noch möglich, ein Bild mit dem falschen MIME-Type anzuzeigen, beispielsweise ein GIF-Bild, welches als image/png ausgeliefert wird. Der Internet Explorer blockiert die Anzeige in diesem Fall. Sicherheitskritisch dürfte dieser Unterschied nicht sein. Ein als image/gif oder mit einem anderen fehlerhaften MIME-Type ausgeliefertes Javascript wurde jedoch von beiden Browsern korrekt blockiert.

Vollständiger Schutz nur mit nosniff

Webentwickler, die sich mittels Content Security Policy vor Cross-Site-Scripting-Angriffen schützen wollen, sollten auf jeden Fall auch den nosniff-Header mitschicken. Nur dann ist der Schutz, den CSP bietet, wirklich vollständig. Zu bedenken ist dabei, dass der Header von der jeweiligen Datei mitgeschickt werden muss. Es reicht also beispielsweise in PHP-Anwendungen nicht, wenn das PHP-Skript in seiner Ausgabe den nosniff-Header mitschickt. Es muss auch dafür gesorgt werden, dass Bilder und andere Dateien jeweils den Header mitsenden. Auf Apache-Webservern kann dies in der Datei .htaccess konfiguriert werden.

 Cross-Site-Scripting: Javascript-Code in Bilder einbetten

eye home zur Startseite
hannob (golem.de) 04. Nov 2014

[...] Sorry, nein: Das ist falsch. Firefox macht genauso Content Sniffing wie die...

neustart 03. Nov 2014

Jap, hab ich auch gedacht. Wenn man die Sicherheitsschlacht irgendwie bewältigen will...

zZz 03. Nov 2014

Ich nutze seit geraumer Zeit die Server Configs aus dem HTML5 Boilerplate Paket und passe...

bjs 03. Nov 2014

bei einem webmail könnte das zb der fall sein. dabei wird html code von unbekannter...



Anzeige

Stellenmarkt
  1. Bäderbetriebe Stuttgart, Stuttgart
  2. Gemeinde St. Leon-Rot, St. Leon-Rot
  3. BG-Phoenics GmbH, München
  4. Rohde & Schwarz Cybersecurity GmbH, München, Köln, Berlin


Anzeige
Hardware-Angebote
  1. 17,82€+ 3€ Versand

Folgen Sie uns
       


  1. Mobiles Betriebssystem

    Apple veröffentlicht überraschend iOS 11.0.1

  2. Banking-App

    Outbank im Insolvenzverfahren

  3. Glasfaser

    Telekom wegen fehlendem FTTH massiv unter Druck

  4. Offene Konsole

    Ataribox entspricht Mittelklasse-PC mit Linux

  5. Autoversicherungen

    HUK-Coburg verlässt "relativ teure Vergleichsportale"

  6. RT-AC86U

    Asus-Router priorisiert Gaming-Pakete und kann 1024QAM

  7. CDN

    Cloudflare bietet lokale TLS-Schlüssel und mehr DDoS-Schutz

  8. Star Trek Discovery angeschaut

    Star Trek - Eine neue Hoffnung

  9. Gemeinde Egelsbach

    Telekom-Glasfaser in Gewerbegebiet findet schnell Kunden

  10. Microsoft

    Programme für Quantencomputer in Visual Studio entwickeln



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
VR: Was HTC, Microsoft und Oculus mit Autos zu tun haben
VR
Was HTC, Microsoft und Oculus mit Autos zu tun haben
  1. Zukunft des Autos "Unsere Elektrofahrzeuge sollen typische Porsche sein"
  2. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  3. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Bundestagswahl 2017 IT-Probleme verzögerten Stimmübermittlung
  2. Zitis Wer Sicherheitslücken findet, darf sie behalten
  3. TV-Duell Merkel-Schulz Die Digitalisierung schafft es nur ins Schlusswort

  1. Re: Es gibt im Wettbewerb kein Vakuum

    Genie | 00:02

  2. Re: Beim Privatkunden zählt meist der...

    nachgefragt | 26.09. 23:59

  3. Re: Ruin durch übertriebene Rendite-Erwartungen

    Deff-Zero | 26.09. 23:58

  4. Re: Zusammenhang Dateisystem und Anwendung

    User_x | 26.09. 23:55

  5. Re: Verstehe ich nicht

    LIGHTSABER96 | 26.09. 23:54


  1. 23:09

  2. 19:13

  3. 18:36

  4. 17:20

  5. 17:00

  6. 16:44

  7. 16:33

  8. 16:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel