اخبار داخلی آرمان داده پویان

مقالات

سرآیند امنیتی Content-Type

MIME چیست

MIME مخفف Multi Purpose Internet Mail Extensions میباشد و مشخصکننده نوع محتوایی است که وب سرور به سمت ناوشگر و یا کاربر رایانامه ارسال مینماید. ناوشگر علاوه بر ارسال درخواستش برای محتوی، درخواستی هم مبنی بر نوع MIME به سمت وبسرور ارسال میکند. وبسرور در پاسخ در سرآیندهای HTTP، قسمت content-type را پیکربندی مینماید و مشخص میکند محتوایی که در حال ارسال است از چه نوعی است. هر وبسرور فهرستی از MIMEهایی که پشتیبانی مینماید دارد. به طور مثال IIS اگر از کاربری درخواستی را دریافت نماید که MIME آن را پشتیبانی نکند پیغام خطای ۴۰۳ را به کاربر برمیگرداند. فهرستی از MIME های استاندارد را در این لینک میتوانید مشاهده نمایید.

سرآیند Content-Type

سرآیند Content-Type به ناوشگر میفهماند محتوی پاسخ از چه نوعی است، در واقع نوع MIME را مشخص میکند. اما در برخی از مواقع ناوشگر به این سرآیندها اطمینان نکرده و خودش محتوی را sniff مینماید. این موضوع یک دلیل تاریخی دارد. زیرا سرورهایی بودهاند که با وجود پیکربندی کردن سرآیند Content-Type، محتوایی که ارسال میکنند با نوع MIME که در این سرآیند مشخص کردهاند، متفاوت است. در نتیجه ناوشگرها برای جلوگیری از این موضوع محتوی را sniff میکنند. سوالاتی که پیش میآید چطور میتوان جلوی این موضوع را گرفت؟ و یا اصلا این موضوع تهدید امنیتی به حساب می‌آید؟

تهدیدات امنیتی

در قسمت قبل از sniff کردن محتوی توسط ناوشگر صحبت کردیم. تهدید امنیتی این کار برای کاربر چه خواهد بود؟ یک ناوشگر برای پی بردن به محتوی فایل از مهندسی معکوس استفاده میکند، این موضوع منجر به نتایج متفاوت در ناوشگرهای مختلف میشود. نتایجی که ممکن است چندان هم درست نباشند. به طور مثال یک ناوشگر بعد از sniff محتوی میگوید که فایل ارسالی HTML است و بایستی اجرا گردد در صورتی که یک فایل غیر اجرایی است. این قضیه میتواند به راحتی مورد استفاده مهاجمین قرار گیرد.

X-Content-Type-Options

برای جلوگیری از sniff محتوی توسط ناوشگر سرآیند X-Content-Type-Options را بر روی حالت nosniff بایستی قرار داد. این سرآیند سمت سرور پیکربندی میگردد و مشخص میکند که Content-Type در سمت کاربر نبایست تغییر کند و بایستی ناوشگر نوعی که در Content-Type مشخص شده است را بپذیرد و محتوی را sniff نکند.

در روند تست نفوذ پیکربندی این سرآیند بررسی شده و انتظار می‌رود که این کار صورت پذیرفته باشد.

X-Content-Type-Options: nosniff
دستورالعمل‌ها

nosniff

درخواست مسدود می‌شود اگر:
نوع آن ‘style’ باشد و نوع MIME آن ‘text/CSS’ نباشد.

یا
نوع آن ‘script’ بوده و نوع MIME آن JavaScript نباشد.

پشتیبانی ناوشگرهای مختلف از این سرآیند

Desktop Mobile
Chrome Edge Firefox Internet Explorer Opera Safari Android webview Chrome for Android Edge Mobile Firefox for Android Opera for Android iOS Safari Samsung Internet
Basic support

Non-standard

Full support

۱

Full support

Yes

Full support

۵۰

Full support

۸

Full support

Yes

No support

No

Full support

Yes

Full support

Yes

Full support

Yes

Full support

۵۰

Full support

Yes

No support

No

?

تعداد بازدید: 367


تازه ترین ها