Der HTTP-Header X-Content-Type-Options
erhöht die Sicherheit einer Webseite durch das Abschalten des so genannten Content-Type Sniffings durch den Browser. Der einzige zulässige Wert ist nosniff
.
Beispiel:
X-Content-Type-Options: nosniff
Content-Type Sniffing
Um Daten in einer Webseite darzustellen, muss der Browser erkennen, um welche Art von Daten es sich handelt. Dazu dient üblicherweise von Server gesendete Content-Type
-Header, der den MIME-Type der jeweiligen Datei angibt.
Um den Dateityp auch bei einem möglichweise fehlenden oder falsch gesetzten Content-Type
-Header zu erkennen, kann der Browser den Inhalt von Dateien untersuchen. Daraus ergeben sich jedoch Sicherheitsrisiken. So könnte auf einem Server, der nur den Upload von Bilddateien erlaubt, eine manipulierte Bilddatei hochgeladen werden, die bösartigen JavaScript-Code enthält. Durch das Content-Type Sniffing würde der Browser diesen Code erkennen und ausführen.
Sniffing verbieten
Der Wert nosniff
signalisiert dem Browser, dass der MIME-Type immer berücksichtigt werden soll. Wenn eine Anfrage einen bestimmten MIME-Type erfordert, jedoch eine Antwort mit einem unpassenden MIME-Type erfolgt, so wird diese abgelehnt.
Bei wao.io ist die Option "Verbiete Content-Type Sniffing" in den Einstellungen Deiner Site unter Optimierungen -> Sicherheit zu finden. Ist diese Option aktiviert, so fügt wao.io den Header X-Content-Type-Options: nosniff
zu Deiner Webseite hinzu.