English

◀◁ 뒤로 취약점ID 210179 위험도 20 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 Anti-MIME-Sniffing 헤더 X-Content-Type-Options가 'nosniff'로 설정되지 않았습니다. 이로 인해 이전 버전의 Internet Explorer 및 Chrome이 응답 본문에서 MIME 스니핑을 수행하여 응답 본문이 선언 된 컨텐츠 유형 이외의 컨텐츠 유형으로 해석되어 표시 될 수 있습니다. 응용 프로그램 / 웹 서버가 Content-Type 헤더를 적절하게 설정하고 모든 웹 페이지에 대해 X-Content-Type-Options 헤더를 'nosniff'로 설정했는지 확인하십시오. 가능한 경우 최종 사용자가 MIME 스니핑을 전혀 수행하지 않거나 웹 응용 프로그램 / 웹 서버에서 MIME 스니핑을 수행하지 않도록 지시 할 수있는 최신 표준 호환 웹 브라우저를 사용해야합니다. * 참고 사이트: https://www.owasp.org/index.php/Security_Headers * 영향을 받는 플랫폼: Any operating system Any version 해결책 * Apache의 httpd.conf 파일에 다음과 같이 정의합니다. <IfModule mod_headers.c> Header set Content-Security-Policy "script-src 'self' ; img-src 'self'; style-src 'self' 'unsafe-inline';connect-src http:; child-src 'unsafe-inline'" Header set X-Content-Type-Options nosniff Header set X-XSS-Protection "1;mode=block" Header set Cache-Control "no-store" Header set Pragma "no-cache" Header set X-Frame-Options SAMEORIGIN </IfModule> * WAS는 필터 등을 이용하여 response에 해당 헤더를 보냅니다. response.setHeader("X-Content-Type-Options","nosniff"); 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)