问题描述
它可以防止浏览器进行 MIME 类型的嗅探。大多数浏览器现在都尊重此标头,包括 Chrome/Chromium、Edge、IE >= 8.0、Firefox
= 50 和 Opera >= 13。请参阅:
https://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi- beta-2-update.aspx?Redirected=true
发送带有值 nosniff 的新 X-Content-Type-Options 响应标头将阻止 Internet Explorer MIME 嗅探远离声明的内容类型的响应。
编辑:
哦,那是 HTTP 标头,而不是 HTML 元标记选项。
另请参阅:http: //msdn.microsoft.com/en-us/library/ie/gg622941 (v=vs.85).aspx
解决方法
我正在使用 OWASP ZAP 在我的本地主机上进行一些渗透测试,并且它不断报告此消息:
Anti-MIME-Sniffing 标头 X-Content-Type-Options 未设置为“nosniff”
此检查特定于 Internet Explorer 8 和 Google Chrome。如果 Content-Type 标头未知,请确保每个页面都设置
Content-Type 标头和 X-CONTENT-TYPE-OPTIONS
我不知道这意味着什么,我在网上找不到任何东西。我试过添加:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
但我仍然收到警报。
设置参数的正确方法是什么?