X-Content-Type-Options: nosniff

Dass dies ein potenzielles Sicherheitsrisiko darstellt, ist schon länger bekannt. Microsoft hat mit dem Internet Explorer 9 einen inoffiziellen Header eingeführt. Setzt der Server den HTTP-Header X-Content-Type-Options: nosniff, so wird dem Browser signalisiert, dass der MIME-Type in jedem Fall respektiert werden soll. Javascript-Code in Bildern wird damit ignoriert.

Stellenmarkt
  1. Data Scientist (w/m/d)
    HUK-COBURG Versicherungsgruppe, Coburg
  2. Entwicklungsingenieur Software-in-the-Loop Testing (m|w|d)
    Bertrandt Technologie GmbH, Mönsheim
Detailsuche

Inzwischen hat auch Google die Auswertung dieses Headers in Chrome implementiert und es gibt Bemühungen, diesen im Rahmen der WhatWG als Standard zu definieren. Für Firefox gibt es einen experimentellen Patch. Github hat für die Unterstützung in Firefox eine Bounty von 1.000 Dollar ausgeschrieben.

In Tests von Golem.de verhielten sich Chrome und der Internet Explorer in Details unterschiedlich bei der Interpretation des Headers. So war es in Chrome immer noch möglich, ein Bild mit dem falschen MIME-Type anzuzeigen, beispielsweise ein GIF-Bild, welches als image/png ausgeliefert wird. Der Internet Explorer blockiert die Anzeige in diesem Fall. Sicherheitskritisch dürfte dieser Unterschied nicht sein. Ein als image/gif oder mit einem anderen fehlerhaften MIME-Type ausgeliefertes Javascript wurde jedoch von beiden Browsern korrekt blockiert.

Vollständiger Schutz nur mit nosniff

Webentwickler, die sich mittels Content Security Policy vor Cross-Site-Scripting-Angriffen schützen wollen, sollten auf jeden Fall auch den nosniff-Header mitschicken. Nur dann ist der Schutz, den CSP bietet, wirklich vollständig. Zu bedenken ist dabei, dass der Header von der jeweiligen Datei mitgeschickt werden muss. Es reicht also beispielsweise in PHP-Anwendungen nicht, wenn das PHP-Skript in seiner Ausgabe den nosniff-Header mitschickt. Es muss auch dafür gesorgt werden, dass Bilder und andere Dateien jeweils den Header mitsenden. Auf Apache-Webservern kann dies in der Datei .htaccess konfiguriert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Cross-Site-Scripting: Javascript-Code in Bilder einbetten
  1.  
  2. 1
  3. 2


hab (Golem.de) 04. Nov 2014

[...] Sorry, nein: Das ist falsch. Firefox macht genauso Content Sniffing wie die...

neustart 03. Nov 2014

Jap, hab ich auch gedacht. Wenn man die Sicherheitsschlacht irgendwie bewältigen will...

zZz 03. Nov 2014

Ich nutze seit geraumer Zeit die Server Configs aus dem HTML5 Boilerplate Paket und passe...

Anonymer Nutzer 03. Nov 2014

bei einem webmail könnte das zb der fall sein. dabei wird html code von unbekannter...



Aktuell auf der Startseite von Golem.de
Cybermonday
CPU-Kaufberatung für Spieler

Wir erklären, wann sich ein neuer Prozessor wirklich lohnt und wann man doch lieber warten oder in eine Grafikkarte investieren sollte.
Von Martin Böckmann

Cybermonday: CPU-Kaufberatung für Spieler
Artikel
  1. 400.000 Ladepunkte: Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh
    400.000 Ladepunkte
    Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh

    Am 1. Januar 2023 will Audi seinen Ladedienst Audi Charging starten. Bis zu 0,81 Euro pro kWh werden verlangt.

  2. Netzwerkprotokoll: Was Admins und Entwickler über IPv6 wissen müssen
    Netzwerkprotokoll
    Was Admins und Entwickler über IPv6 wissen müssen

    Sogar für IT-Profis scheint das Netzwerkprotokoll IPv6 oft ein Buch mit sieben Siegeln - und stößt bei ihnen nicht auf bedingungslose Liebe. Wir überprüfen die Vorbehalte in der Praxis und geben Tipps.
    Von Jochen Demmer

  3. Wo Long Fallen Dynasty Vorschau: Souls-like mit Schwertkampf in China
    Wo Long Fallen Dynasty Vorschau
    Souls-like mit Schwertkampf in China

    Das nächste Souls-like heißt Wo Long: Fallen Dynasty und stammt von Team Ninja. Golem.de hat beim Anspielen mehr Gegner erledigt als erwartet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Monday bei Media Markt & Saturn • Nur noch heute: Black Friday Woche bei Amazon & NBB • MindStar: Intel Core i7 12700K 359€ • Gigabyte RX 6900 XT 799€ • Xbox Series S 222€ • Gamesplanet Winter Sale - neue Angebote • WD_BLACK SN850 1TB 129€ [Werbung]
    •  /