Abo
  • Services:

X-Content-Type-Options: nosniff

Dass dies ein potenzielles Sicherheitsrisiko darstellt, ist schon länger bekannt. Microsoft hat mit dem Internet Explorer 9 einen inoffiziellen Header eingeführt. Setzt der Server den HTTP-Header X-Content-Type-Options: nosniff, so wird dem Browser signalisiert, dass der MIME-Type in jedem Fall respektiert werden soll. Javascript-Code in Bildern wird damit ignoriert.

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. Power Service GmbH, Köln

Inzwischen hat auch Google die Auswertung dieses Headers in Chrome implementiert und es gibt Bemühungen, diesen im Rahmen der WhatWG als Standard zu definieren. Für Firefox gibt es einen experimentellen Patch. Github hat für die Unterstützung in Firefox eine Bounty von 1.000 Dollar ausgeschrieben.

In Tests von Golem.de verhielten sich Chrome und der Internet Explorer in Details unterschiedlich bei der Interpretation des Headers. So war es in Chrome immer noch möglich, ein Bild mit dem falschen MIME-Type anzuzeigen, beispielsweise ein GIF-Bild, welches als image/png ausgeliefert wird. Der Internet Explorer blockiert die Anzeige in diesem Fall. Sicherheitskritisch dürfte dieser Unterschied nicht sein. Ein als image/gif oder mit einem anderen fehlerhaften MIME-Type ausgeliefertes Javascript wurde jedoch von beiden Browsern korrekt blockiert.

Vollständiger Schutz nur mit nosniff

Webentwickler, die sich mittels Content Security Policy vor Cross-Site-Scripting-Angriffen schützen wollen, sollten auf jeden Fall auch den nosniff-Header mitschicken. Nur dann ist der Schutz, den CSP bietet, wirklich vollständig. Zu bedenken ist dabei, dass der Header von der jeweiligen Datei mitgeschickt werden muss. Es reicht also beispielsweise in PHP-Anwendungen nicht, wenn das PHP-Skript in seiner Ausgabe den nosniff-Header mitschickt. Es muss auch dafür gesorgt werden, dass Bilder und andere Dateien jeweils den Header mitsenden. Auf Apache-Webservern kann dies in der Datei .htaccess konfiguriert werden.

 Cross-Site-Scripting: Javascript-Code in Bilder einbetten
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. auf ausgewählte Corsair-Netzteile
  2. und 4 Spiele gratis erhalten

hannob (golem.de) 04. Nov 2014

[...] Sorry, nein: Das ist falsch. Firefox macht genauso Content Sniffing wie die...

neustart 03. Nov 2014

Jap, hab ich auch gedacht. Wenn man die Sicherheitsschlacht irgendwie bewältigen will...

zZz 03. Nov 2014

Ich nutze seit geraumer Zeit die Server Configs aus dem HTML5 Boilerplate Paket und passe...

Anonymer Nutzer 03. Nov 2014

bei einem webmail könnte das zb der fall sein. dabei wird html code von unbekannter...


Folgen Sie uns
       


Honor 10 gegen Oneplus 6 - Test

Das Honor 10 unterbietet den Preis des Oneplus 6 und bietet dafür ebenfalls eine leistungsfähige Ausstattung.

Honor 10 gegen Oneplus 6 - Test Video aufrufen
Garmin Fenix 5 Plus im Test: Mit Musik ins unbekannte Land
Garmin Fenix 5 Plus im Test
Mit Musik ins unbekannte Land

Kopfhörer ins Ohr und ab zum Joggen, Rad fahren oder zum nächsten Supermarkt spazieren - ohne Smartphone: Mit der Sport-Smartwatch Fenix 5 Plus von Garmin geht das. Beim Test haben wir uns zwar im Wegfindungsmodus verlaufen, sind von den sonstigen Navigationsoptionen aber begeistert.
Ein Test von Peter Steinlechner

  1. Garmin im Hands on Alle Fenix 5 Plus bieten Musik und Offlinenavigation

Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Mehr Reaktionsmöglichkeiten statt schwächerer Munition
  2. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  3. Battlefield 5 Schatzkisten und Systemanforderungen

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

    •  /