Autor Zpráva
Zelinář
Profil *
Na několika místech na webu jsem našel info (anglicky rozumím špatně) že ideální bezpečností nastavení v .htaccess pro odesílané html hlavičky bývá:

<ifModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options: "nosniff"
</ifModule>

Jediné co chápu a znám je "X-Frame-Options SAMEORIGIN" (zákaz načtení mého webu v cizím rámu - iframe)

Může mi ovšem někdo objasnit ty další dvě hlavičky, co tím nastavením vlastně serveru přikážu? a je rozumné to takto mít nastavené......... Díky všem expertům ;-)
Dusann
Profil
http://en.wikipedia.org/wiki/List_of_HTTP_header_fields
Zelinář
Profil *
Dusann:
The only defined value, "nosniff", prevents Internet Explorer from MIME-sniffing a response away from the declared content-type. This also applies to Google Chrome, when downloading extensions.

To je právě to čemu nerozumím, umí to někdo lépe přeložit než google překladač :-) díky.

Google překlad: Pouze definovaná hodnota, "nosniff", zabrání aplikaci Internet Explorer MIME čichání odpověď od deklarovaného obsahu typu. To platí i pro Google Chrome při stahování rozšíření. ?
Fisir
Profil
Reaguji na Zelináře:
Slouží ke zmírnění bezpečnostních rizik tím, že zabrání „hádání“ MIME typu souboru. Pokud třeba vložíš do stránky odkaz na skript
<script type="text/javascript" src="skript.php"></script>
a dynamicky ho generuješ (soubor má koncovku .php) a nenastavuješ správnou Content-Type HTTP hlavičku (tj. tu, která odpovídá MIME typu JavaScriptových souborů), ale ponecháš např. výchozí text/html, prohlížeče ten JavaScript stejně vykonají.

Pokud bys ale navíc přidal HTTP hlavičku X-Content-Type-Options: nosniff, Internet Explorer a Google Chrome skript zablokují, protože nemá nastavený MIME typ text/javascript, ale text/html.

Anglicky na MSDN.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: