X-Content-Type-Options-Schwachstelle/DE
Überprüfung des X-Content-Type Headers
Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise.
Ergebnis positiv | Der HTTP-Header ist korrekt gesetzt. |
Ergebnis negativ | X-Content-Type Header fehlt. |
Beschreibung | Die X-Content-Type-Options Einstellungen im Header verhindern, dass der Browser Dateien als etwas anderes interpretiert, als vom Inhaltstyp im HTTP-Header deklariert wurde. Die Headereinstellungen sind hier nicht gesetzt. |
Hintergrund | Es existiert nur ein definierbarer Wert nosniff, dieser verhindert, dass der Internet Explorer und Google Chrome unabhängig vom deklarierten Content-Type (z. B. text/html) nach weiteren möglichen MIME-Types suchen. Für Chrome gilt dies auch für das Herunterladen von Erweiterungen. Der Headereintrag reduziert die Belastung durch sog. Drive-by-Download-Attacken. Webseiten, die den Upload von Dateien unterstützen und die, wenn deren Namen geschickt gewählt wurden, vom Browser als ausführbare Datei oder dynamische HTML-Datei behandelt werden, könnten damit Ihren Rechner oder andere mit Schadcode infizieren. Weitere Informationen zu X-Content-Type-Options finden Sie im Bericht von Golem.de. |
Auswirkung | Einfach und ohne weitere Anpassungen zu implementieren. Verhindert Angriffe auf Nutzer des Internet Explorers. |
Lösung/Tipps | nosniff;
Beispielcode einer .htaccess auf einem Apache Webserver <IfModule mod_headers.c> # prevent mime based attacks like drive-by download attacks, IE and Chrome Header set X-Content-Type-Options "nosniff" </IfModule> Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim Header Scanner zu erzielen. (.htaccess-Beispiel) |