Abo
  • Services:
Anzeige
Eine GIF-Datei mit eingebautem Javascript-Code
Eine GIF-Datei mit eingebautem Javascript-Code (Bild: Screenshot Golem.de)

X-Content-Type-Options: nosniff

Anzeige

Dass dies ein potenzielles Sicherheitsrisiko darstellt, ist schon länger bekannt. Microsoft hat mit dem Internet Explorer 9 einen inoffiziellen Header eingeführt. Setzt der Server den HTTP-Header X-Content-Type-Options: nosniff, so wird dem Browser signalisiert, dass der MIME-Type in jedem Fall respektiert werden soll. Javascript-Code in Bildern wird damit ignoriert.

Inzwischen hat auch Google die Auswertung dieses Headers in Chrome implementiert und es gibt Bemühungen, diesen im Rahmen der WhatWG als Standard zu definieren. Für Firefox gibt es einen experimentellen Patch. Github hat für die Unterstützung in Firefox eine Bounty von 1.000 Dollar ausgeschrieben.

In Tests von Golem.de verhielten sich Chrome und der Internet Explorer in Details unterschiedlich bei der Interpretation des Headers. So war es in Chrome immer noch möglich, ein Bild mit dem falschen MIME-Type anzuzeigen, beispielsweise ein GIF-Bild, welches als image/png ausgeliefert wird. Der Internet Explorer blockiert die Anzeige in diesem Fall. Sicherheitskritisch dürfte dieser Unterschied nicht sein. Ein als image/gif oder mit einem anderen fehlerhaften MIME-Type ausgeliefertes Javascript wurde jedoch von beiden Browsern korrekt blockiert.

Vollständiger Schutz nur mit nosniff

Webentwickler, die sich mittels Content Security Policy vor Cross-Site-Scripting-Angriffen schützen wollen, sollten auf jeden Fall auch den nosniff-Header mitschicken. Nur dann ist der Schutz, den CSP bietet, wirklich vollständig. Zu bedenken ist dabei, dass der Header von der jeweiligen Datei mitgeschickt werden muss. Es reicht also beispielsweise in PHP-Anwendungen nicht, wenn das PHP-Skript in seiner Ausgabe den nosniff-Header mitschickt. Es muss auch dafür gesorgt werden, dass Bilder und andere Dateien jeweils den Header mitsenden. Auf Apache-Webservern kann dies in der Datei .htaccess konfiguriert werden.

 Cross-Site-Scripting: Javascript-Code in Bilder einbetten

eye home zur Startseite
hannob (golem.de) 04. Nov 2014

[...] Sorry, nein: Das ist falsch. Firefox macht genauso Content Sniffing wie die...

neustart 03. Nov 2014

Jap, hab ich auch gedacht. Wenn man die Sicherheitsschlacht irgendwie bewältigen will...

zZz 03. Nov 2014

Ich nutze seit geraumer Zeit die Server Configs aus dem HTML5 Boilerplate Paket und passe...

bjs 03. Nov 2014

bei einem webmail könnte das zb der fall sein. dabei wird html code von unbekannter...



Anzeige

Stellenmarkt
  1. Deutsche Hypothekenbank AG, Hannover
  2. KARL EUGEN FISCHER GMBH, Burgkunstadt bei Bamberg
  3. über Hays AG, Raum Frankfurt
  4. Robert Bosch GmbH, Bamberg


Anzeige
Spiele-Angebote
  1. (-58%) 24,99€
  2. 32,99€
  3. 10,99€

Folgen Sie uns
       


  1. Open Access

    Konkurrenten wollen FTTH-Ausbau mit der Telekom

  2. Waipu TV

    Produkte aus Werbeblock direkt bei Amazon bestellen

  3. Darpa

    US-Militär will Pflanzen als Schadstoffsensoren einsetzen

  4. Snpr External Graphics Enclosure

    KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

  5. IOS 11 und iPhone X

    Das Super-Retina-Display braucht nur wenige Anpassungen

  6. Polyphony Digital

    GT Sport bekommt Einzelspielerliga

  7. Smartphone-Tarife

    Congstar wertet Prepaid-Pakete auf

  8. Rauschgifthandel

    BKA nimmt "Top-Verkäufer" aus dem Darknet fest

  9. Toyota

    Roboter T-HR3 meldet sich zum Arbeitseinsatz

  10. FixFifa

    Fans von Fifa 18 drohen mit Boykott



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Mozilla Wenn Experimente besser sind als Produkte
  2. Firefox 57 Firebug wird nicht mehr weiterentwickelt
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Fire TV (2017) im Test: Das Streaminggerät, das kaum einer braucht
Fire TV (2017) im Test
Das Streaminggerät, das kaum einer braucht
  1. Neuer Fire TV Amazons Streaming-Gerät bietet HDR für 80 Euro
  2. Streaming Update für Fire TV bringt Lupenfunktion
  3. Streaming Amazon will Fire TV und Echo Dot vereinen

  1. Re: Traditionale Verkaufskanäle

    Niaxa | 16:08

  2. Re: Nööö 64Bit only würde viel mehr nerven..

    stiGGG | 16:08

  3. bloß nicht eine Sekunde nachdenken, ob man das...

    NachDenker | 16:04

  4. Re: Alles nur Image, Konzept hier, Studie da

    Der Spatz | 16:03

  5. Re: Die Allmachtsfantasien der Amis

    Daem | 16:00


  1. 14:39

  2. 14:24

  3. 12:56

  4. 12:30

  5. 11:59

  6. 11:51

  7. 11:45

  8. 11:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel