X-Content-Type-Options-Schwachstelle/DE/Background: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „Es existiert nur ein definierbarer Wert „nosniff“, dieser verhindert, dass der Internet Explorer und Google Chrome unabhängig vom deklarierten Content-Typ…“) |
|||
| Zeile 1: | Zeile 1: | ||
| − | Es existiert nur ein definierbarer Wert | + | Es existiert nur ein definierbarer Wert '''nosniff''', dieser verhindert, dass der Internet Explorer und Google Chrome unabhängig vom deklarierten Content-Type (z. B. text/html) nach weiteren möglichen MIME-Types suchen. Für Chrome gilt dies auch für das Herunterladen von Erweiterungen. Der Headereintrag reduziert die Belastung durch sog. [[Drive-by-Download|Drive-by-Download-Attacken]]. Webseiten, die den Upload von Dateien unterstützen und die, wenn deren Namen geschickt gewählt wurden, vom [[Browser]] als ausführbare Datei oder dynamische [[HTML|HTML-Datei]] behandelt werden, könnten damit Ihren Rechner oder andere mit Schadcode infizieren. Weitere Informationen zu '''X-Content-Type-Options''' finden Sie im Bericht von [https://www.golem.de/news/cross-site-scripting-javascript-code-in-bilder-einbetten-1411-110264-2.html Golem.de]. |
Version vom 31. Januar 2019, 13:43 Uhr
Es existiert nur ein definierbarer Wert nosniff, dieser verhindert, dass der Internet Explorer und Google Chrome unabhängig vom deklarierten Content-Type (z. B. text/html) nach weiteren möglichen MIME-Types suchen. Für Chrome gilt dies auch für das Herunterladen von Erweiterungen. Der Headereintrag reduziert die Belastung durch sog. Drive-by-Download-Attacken. Webseiten, die den Upload von Dateien unterstützen und die, wenn deren Namen geschickt gewählt wurden, vom Browser als ausführbare Datei oder dynamische HTML-Datei behandelt werden, könnten damit Ihren Rechner oder andere mit Schadcode infizieren. Weitere Informationen zu X-Content-Type-Options finden Sie im Bericht von Golem.de.
