问题标签 [x-content-type-options]

如何解决 X-Content-Type-Options 标头丢失等问题？

错误检测器发现了这个问题。

我们的安全团队最近要求我向我最近移交给的网站添加 x 内容类型选项 no sniff。添加后，它似乎会导致用户登录问题以及通过该网站进行的块购买。据我所知，这仅将内容类型明确设置为页面加载时设置的内容，不应影响提交或登录。

我正在查看页面，因为我确实看到这可能会影响脚本，但看不到它声明内容类型的任何地方。这被放入一个用 VB.net 编写的旧站点中

我正在用 angularjs5 开发一个 Web 应用程序。安全团队正在测试我们的应用程序并提出了错误。

说明：Anti-MIME-Sniffing 标头 X-Content-Type-Options 未设置为“ nosniff”。这允许旧版本的 Internet Explorer 和 Chrome 对响应正文执行 MIME 嗅探，可能导致响应正文被解释并显示为声明的内容类型以外的内容类型。当前（2014 年初）和旧版本的 Firefox 将使用声明的内容类型（如果已设置），而不是执行 MIME 嗅探。

网址： http://mywebsite.azurewebsites.net/dist/vendor.js?v= vBjTOpDNRC-nQNYd5TD5g6hxfdfdjc7SPrvBv0o2pPs

方法：Get

范围：X-Content-Type-Options

解决方案：确保应用程序/Web 服务器正确设置 Content-Type 标头，并将nosniff所有网页的 X-Content-Type-Options 标头设置为 ' '。

如果可能，请确保最终用户使用完全不执行 MIME 嗅探的标准兼容的现代 Web 浏览器，或者可以将其定向到 Web 应用程序/Web 服务器以不执行 MIME 嗅探。

我nosniff在所有 HTTP 请求中设置了标题 'X-Content-Type-Options': ' '，如下所示。

有人可以帮我将标头 X-Content-Type-Options 设置为 dist/vendor.css、dist/main-client.jsdist/vendor.js 吗？任何帮助，将不胜感激。谢谢你。

我正在开发一个网站，最后我检查了我在我的网站中发现的关于 X CONTENT TYPE 的漏洞。我以 mozilla 开发人员为参考，我知道这可以通过使用代码 X-Content-Type-Options: nosniff 来删除，任何人都可以建议我在哪里使用它？

我提供一个静态文件服务器（通过 HTTP），其中包含由wasm-pack. 使用 rustwasm 书中的示例，我将此代码添加到我的索引 HTML 页面中：

但是，在 Firefox 上，我收到标题中所示的错误消息：

来自“<a href="http://localhost:8000/pkg/fstree_web_bg.wasm" rel="noreferrer">http://localhost:8000/pkg/fstree_web_bg.wasm”的模块由于不允许的 MIME 类型而被阻止（“应用程序/wasm”）。

我怀疑 HTTPS 问题或 localhost 问题，所以我另外尝试127.0.0.1了，甚至尝试了 https://***.ngrok.io 隧道，Firefox 仍然拒绝加载带有此错误消息的 wasm 模块。

它链接到关于 X-Content-Type-Options 的 MDN 文章，但我不确定它是如何相关的。我的服务器已经在发送Content-Type: application/wasm.

wasm-pack 生成的 JavaScript 代码是这样开始的：

Firefox 是否希望我将 *.wasm 作为 发送application/javascript？或者有什么问题？

我正在使用 Spring Boot v2.1.9.RELEASE 和 Thymeleaf 开发一个 Web 应用程序。该应用程序将服务器端渲染（Spring MVC 常规控制器）与通过 AJAX 调用的休息控制器混合在一起。只要是我使用的唯一 HTTP 方法，GET该页面就像一个魅力。POST一旦我添加了一个完全不相关但未使用的DELETEREST 控制器，CSS 和 JS 资源就会停止加载，并且浏览器控制台中会显示如下错误：

The resource from “http://localhost:8080/css/demo.css” was blocked due to MIME type (“application/json”) mismatch (X-Content-Type-Options: nosniff)

如果我删除新的控制器，页面将重新开始工作。

当我使用网络监视器检查请求时，我观察到：

• X-Content-Type-Options: nosniff响应中始终存在标头，这与Spring Security 文档一致。
• 如果DELETE端点不存在，则请求会按预期GET /css/demo.css返回带有代码。(request header) 和(response header)HTTP 200都标记为.AcceptContent-Typetext/css
• 当我添加端点时，上述请求返回一个HTTP 405. Accept标题text/css只是Content-Type变成application/json. 此外，还添加了一个新的响应标头：Allow: DELETE.

我的猜测是，当 Spring 扫描控制器并DELETE找到方法时，会自动添加一些额外的配置，但我找不到任何参考来确认这一点。我想知道为什么会发生这种情况以及如何避免这种行为。

由于我在本地开发，我的 Spring Security 配置非常简单：

我添加的 REST 控制器几乎什么都不做：

CSS 和 JS 文件正在加载到template.html文件夹下的src/main/resources/templates文件中，如下所示：

<link type="text/css" href="/css/demo.css" rel="stylesheet" />

我们网站上的 Soundcloud 音频小工具上周停止工作。（这里的例子）。它已经工作了6年。

Chrome 和 Safari 中的 JS 控制台给出以下错误：

拒绝执行https://api.soundcloud.com/resolve?url=https://soundcloud.com/puremagnetik/puremagnetik-opus&format=json&consumer_key=htuiRd1JP11Ww0X72T1C3g&callback=jQuery31108344418007576904_1578931070539&_=15789310705脚本因为"XContent-N04"已给出并且其 Content-Type 不是脚本 MIME 类型。

有谁知道这可能意味着什么？好像它在 Soundcloud 端，是吗？

我在这里的网站突然停止播放音乐曲目（我通过 SoundCloud 的 API 设置了这些）：

https://www.instrumentalbackgroundmusic.com/royalty-free-music/blueprint/

由于我的网站运行良好，因此我在这里有点超出了我的深度，但是现在我已经拒绝执行 [Soundcloud API URL with JSONP callback] 作为脚本，因为给出了“X-Content-Type：nosniff”及其Content-Type 不是脚本 MIME 类型的错误，我不知道如何修复。

我在网上四处查看，但我无法使用设置代理服务器等一些解决方案，所以我想知道是否可以使用 HTACCESS 或其他东西在服务器上实施修复？

谁能帮助指导我如何解决这个问题？

我正在使用 node.js 处理一个待办事项列表项目，我在浏览器控制台中遇到了标题 X-Content-Type-Options 的问题，这阻止了我自己阅读样式表或 javascript 脚本。

为了给你一个想法，这里是屏幕截图： 在此处输入图像描述

我试图通过在我的项目中添加一个 .htaccess 文件来解决这个问题，但没有什么可做的。这是我放在文件中的内容：

标头始终设置 X-Content-Type-Options “nosniff”

非常感谢你提前

当我们使用“X-Content-Type-Options”值作为“nosniff”时。这会阻止所有 CSS 和 JS 文件在 Asp.Net 应用程序中呈现。