X-Content-Type-Options senza tipo di contenuto

3

X-Content-Type-Options aiuta a proteggere dagli attacchi che sfruttano il browser cercando di interpretare le risposte HTTP con un Content-Type dichiarato in modo errato.

Ma cosa succede quando la risposta HTTP imposta l'intestazione X-Content-Type-Options ma non l'intestazione Content-Type .

Il browser continuerà a "fiutare" o prenderà un determinato valore predefinito?

    
posta Silver 05.10.2017 - 17:14
fonte

1 risposta

1

Trovata la risposta nella stessa pagina :

  1. Let mimeType be the result of extracting a MIME type from response’s header list.
  2. Let destination be request’s destination.
  3. If destination is script-like and mimeType (ignoring parameters) is not a JavaScript MIME type, then return blocked.
  4. If destination is "style" and mimeType (ignoring parameters) is not text/css, then return blocked.
  5. Return allowed.

Presumo, dal momento che non è stato dichiarato il tipo MIME, il passaggio 3 non restituisce mai il blocco. Nel mio caso, non esiste neanche una destinazione, quindi finiamo al passaggio 5 - > consentito.

Modifica: nei passaggi 3 e 4 un tipo mime vuoto non sarà un tipo mime javascript o un tipo mime text / css. Pertanto la richiesta verrà bloccata se la destinazione corrisponde.

    
risposta data 06.10.2017 - 09:46
fonte

Leggi altre domande sui tag