在我的网站上,文件可以通过如下网址共享
“/file/file_id”,
而且服务器也会用指定的文件名准确地发送回文件内容。
我想我应该对内容类型头做点什么。如果我说Content-Type: "image"
firefox也乐于执行html文件。似乎是通过Content-Type: "image/jpeg"
其中一个我认为必须说“我是一个形象!”按标准来说应该足够了。例如,如果输入错误(去掉“jpeg”),我可以利用我的整个网站。另外,现在我必须处理所有常见的图像类型并实现它们的头。
其次,如果有一个头(不要执行),那就太好了。有吗?
我看了一些“x-xss-protection”标题,但它看起来像是只有ie才能理解的东西。对不起,如果这是在某处回答的,我还没有找到。
最佳答案
X-Content-Type-Options: nosniff
使浏览器尊重您发送的
Content-Type
,因此如果您只发送已知的安全类型(例如,不发送svg!),会没事的。还有CSP可能是第二道防线:
Content-Security-Policy: default-src 'none'
在完全不同的顶级域上对安全宿主第三方内容非常小心的站点(以获得同源策略保护并避免通过受损子域注入cookie)。
关于http - HTTP“不执行!”标题,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/38795926/