Autor | Zpráva | ||
---|---|---|---|
Zelinář Profil * |
#1 · Zasláno: 18. 11. 2014, 08:08:13
Na několika místech na webu jsem našel info (anglicky rozumím špatně) že ideální bezpečností nastavení v .htaccess pro odesílané html hlavičky bývá:
<ifModule mod_headers.c> Header set X-XSS-Protection "1; mode=block" Header always append X-Frame-Options SAMEORIGIN Header set X-Content-Type-Options: "nosniff" </ifModule> Jediné co chápu a znám je "X-Frame-Options SAMEORIGIN" (zákaz načtení mého webu v cizím rámu - iframe) Může mi ovšem někdo objasnit ty další dvě hlavičky, co tím nastavením vlastně serveru přikážu? a je rozumné to takto mít nastavené......... Díky všem expertům ;-) |
||
Dusann Profil |
#2 · Zasláno: 18. 11. 2014, 17:22:07
|
||
Zelinář Profil * |
#3 · Zasláno: 18. 11. 2014, 19:35:44
Dusann:
The only defined value, "nosniff", prevents Internet Explorer from MIME-sniffing a response away from the declared content-type. This also applies to Google Chrome, when downloading extensions. To je právě to čemu nerozumím, umí to někdo lépe přeložit než google překladač :-) díky. Google překlad: Pouze definovaná hodnota, "nosniff", zabrání aplikaci Internet Explorer MIME čichání odpověď od deklarovaného obsahu typu. To platí i pro Google Chrome při stahování rozšíření. ?
|
||
Fisir Profil |
#4 · Zasláno: 18. 11. 2014, 19:49:01
Reaguji na Zelináře:
Slouží ke zmírnění bezpečnostních rizik tím, že zabrání „hádání“ MIME typu souboru. Pokud třeba vložíš do stránky odkaz na skript <script type="text/javascript" src="skript.php"></script> .php ) a nenastavuješ správnou Content-Type HTTP hlavičku (tj. tu, která odpovídá MIME typu JavaScriptových souborů), ale ponecháš např. výchozí text/html , prohlížeče ten JavaScript stejně vykonají.
Pokud bys ale navíc přidal HTTP hlavičku X-Content-Type-Options: nosniff , Internet Explorer a Google Chrome skript zablokují, protože nemá nastavený MIME typ text/javascript , ale text/html .
Anglicky na MSDN. |
||
Časová prodleva: 9 let
|
0