我们的安全团队最近要求我向我最近移交给的网站添加 x 内容类型选项 no sniff。添加后,它似乎会导致用户登录问题以及通过该网站进行的块购买。据我所知,这仅将内容类型明确设置为页面加载时设置的内容,不应影响提交或登录。
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Content-Type-Options" value="nosniff" />
</customHeaders>
</httpProtocol>
</system.webServer>
我正在查看页面,因为我确实看到这可能会影响脚本,但看不到它声明内容类型的任何地方。这被放入一个用 VB.net 编写的旧站点中