"এক্স-সামগ্রী-প্রকার-বিকল্পগুলি = নোশনফ" কী?

আমি OWASP ZAP এর সাথে আমার লোকালহোস্টে কিছু অনুপ্রবেশ পরীক্ষা করছি এবং এটি এই বার্তাটির প্রতিবেদন করে চলেছে:

অ্যান্টি-মাইম-স্নিফিং হেডার এক্স-সামগ্রী-প্রকার-বিকল্পগুলি 'নসনিফ' তে সেট করা হয়নি

এই চেকটি ইন্টারনেট এক্সপ্লোরার 8 এবং গুগল ক্রোমের সাথে নির্দিষ্ট। নিশ্চিত করুন যে প্রতিটি পৃষ্ঠা একটি সামগ্রী-প্রকারের শিরোনাম এবং এক্স-বিষয়বস্তু-টাইপ-বিকল্পগুলি সেট করে যদি কনটেন্ট-টাইপ শিরোনাম অজানা থাকে

এর অর্থ কী তা আমার কোনও ধারণা নেই এবং আমি অনলাইনে কিছুই খুঁজে পেলাম না। আমি যোগ করার চেষ্টা করেছি:

<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />

কিন্তু আমি এখনও সতর্কতা পেতে।

পরামিতি সেট করার সঠিক উপায় কী?

এটি ব্রাউজারটিকে এমআইএমআই-টাইম স্নিফিং করতে বাধা দেয়। বেশিরভাগ ব্রাউজার এখন ক্রোম / ক্রোমিয়াম, এজ, আইআই> = 8.0, ফায়ারফক্স> = 50 এবং অপেরা> = 13 সহ এই শিরোনামকে সম্মান করছে। দেখুন:

https://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx?Redirected=true

নতুন এক্স-সামগ্রী-প্রকার-বিকল্পগুলির প্রতিক্রিয়া শিরোনামটি মান নসনিফ সহ প্রেরণ করা ইন্টারনেট এক্সপ্লোরারকে মাইম-সংঘবদ্ধকরণ থেকে ঘোষিত সামগ্রী-প্রকারের থেকে দূরে প্রতিক্রিয়াটিকে আটকাবে।

সম্পাদনা করুন:

ওহ, এটি একটি এইচটিটিপি শিরোনাম, কোনও এইচটিএমএল মেটা ট্যাগ বিকল্প নয়।

আরও দেখুন: http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85).aspx

বিবরণ

কোনও সার্ভারের X-Content-Type-Optionsএইচটিটিপি রেসপন্স শিরোনামটি nosniffব্রাউজারগুলিকে সামগ্রী অক্ষম করার নির্দেশ দেয় বা এমআইএমআই স্নিফিং যা প্রতিক্রিয়া Content-Typeশিরোনামকে ওভাররাইড করতে ব্যবহৃত হয় কোনও অন্তর্নিহিত সামগ্রীর প্রকারের সাহায্যে ডেটা অনুমান এবং প্রক্রিয়া করতে। যদিও এটি কিছু পরিস্থিতিতে সুবিধাজনক হতে পারে তবে এটি নীচে তালিকাভুক্ত কিছু আক্রমণও করতে পারে। আপনার সার্ভারটি X-Content-Type-Optionsএইচটিটিপি রেসপন্স শিরোনামটি সেট করতে ফিরে আসার জন্য কনফিগার করা nosniffমাইম স্নিফিং সমর্থনকারী ব্রাউজারগুলিকে সার্ভার-সরবরাহিত ব্যবহার করার জন্য নির্দেশ দেয় Content-Typeএবং সামগ্রীটিকে ভিন্ন সামগ্রীর ধরণের হিসাবে ব্যাখ্যা না করে।

ব্রাউজার সমর্থন

X-Content-Type-OptionsHTTP প্রতিক্রিয়া হেডার ক্রোম, ফায়ারফক্স এবং এজ পাশাপাশি অন্যান্য ব্রাউজারে সমর্থিত। এক্স-সামগ্রী-প্রকার-বিকল্পগুলির জন্য মজিলা বিকাশকারী নেটওয়ার্ক (এমডিএন) ব্রাউজারের সামঞ্জস্যতা সারণীতে সর্বশেষতম ব্রাউজার সমর্থন উপলব্ধ:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options

আক্রমণ পাল্টা

1. মাইম কনফিউশন অ্যাটাক ব্যবহারকারীদের দ্বারা উত্পাদিত সামগ্রীগুলির মাধ্যমে আক্রমণগুলি সক্ষম করে যা ব্যবহারকারীদের দূষিত কোড আপলোড করার অনুমতি দেয় যা ব্রাউজারগুলির দ্বারা কার্যকর করা হয় যা বিকল্প সামগ্রীর ধরণের যেমন ফাইলগুলি ব্যাখ্যা করতে পারে, যেমন অন্তর্নিহিতapplication/javascriptবনাম সুস্পষ্টtext/plain। এর ফলে "ড্রাইভ বাই ডাউনলোড" আক্রমণ হতে পারে যা ফিশিংয়ের জন্য সাধারণ আক্রমণ আক্রমণকারী। যে সাইটগুলি ব্যবহারকারী উত্পন্ন সামগ্রীর হোস্ট করে তাদের ব্যবহারকারীদের সুরক্ষার জন্য এই শিরোনামটি ব্যবহার করা উচিত। এই দ্বারা উল্লেখ করা হয় VeraCode এবং OWASP নিম্নলিখিত বলছেন যা:

   এটি ড্রাইভ বাই ডাউনলোড আক্রমণ এবং ব্যবহারকারীর আপলোড করা সামগ্রীর পরিবেশনকারী সাইটগুলিতে এক্সপোজার হ্রাস করে যা চালাক নামকরণের মাধ্যমে এমএসআইই দ্বারা এক্সিকিউটেবল বা গতিশীল এইচটিএমএল ফাইল হিসাবে বিবেচনা করা যেতে পারে।

2. অননুমোদিত হটলিঙ্কিংContent-Type স্নিফিংয়েরমাধ্যমে সক্ষম করা যায়। এক উদ্দেশ্যে উত্স সহ সাইটগুলিতে হটলিংক করে, উদাহরণস্বরূপ, অ্যাপ্লিকেশনগুলি সামগ্রীর ধরণের স্নিফিংয়ের উপর নির্ভর করতে পারে এবং অন্য উদ্দেশ্যে যেখানে এটি তাদের পরিষেবার শর্তাদির পরিপন্থী হতে পারে সেখানে প্রচুর ট্র্যাফিক তৈরি করতে পারে, যেমন গিটহাব দেখার জন্য জাভাস্ক্রিপ্ট কোড প্রদর্শন করে, তবে মৃত্যুদণ্ড কার্যকর করার জন্য নয়:

   কিছু উদ্বেগহীন মানবেতর ব্যবহারকারী (যথা কম্পিউটার) কাঁচা ভিউ বৈশিষ্ট্যটির মাধ্যমে "হটলিংকিং" সম্পদ গ্রহণ করেছে - srcএকটি <script>বা <img>ট্যাগের জন্য কাঁচা ইউআরএল ব্যবহার করে । সমস্যাটি হ'ল এগুলি স্থির সম্পদ নয়। কাঁচা ফাইলের ভিউ, রেলস অ্যাপ্লিকেশানের অন্যান্য দর্শনের মতো, ব্যবহারকারীর কাছে ফেরত দেওয়ার আগে অবশ্যই রেন্ডার করতে হবে। এটি দ্রুত পারফরম্যান্সে একটি বড় টোল যোগ করে। অতীতে আমরা এইভাবে পরিবেশন করা জনপ্রিয় সামগ্রী ব্লক করতে বাধ্য হয়েছিল কারণ এটি আমাদের সার্ভারগুলিতে অতিরিক্ত চাপ দেয় rain

# prevent mime based attacks
Header set X-Content-Type-Options "nosniff"

এই শিরোনামটি "মাইম" ভিত্তিক আক্রমণগুলি রোধ করে। এই শিরোলেখটি ইন্টারনেট এক্সপ্লোরারকে মাইম-সংঘবদ্ধ প্রতিক্রিয়াটিকে ঘোষিত সামগ্রী-ধরণের থেকে দূরে রাখতে বাধা দেয় কারণ শিরোনামটি ব্রাউজারকে প্রতিক্রিয়া সামগ্রীর ধরণের ওভাররাইড না করার নির্দেশ দেয়। নোশনফ বিকল্পের সাহায্যে, সার্ভারটি যদি লিখিত বিষয়বস্তু / এইচটিএমএল বলে থাকে তবে ব্রাউজারটি এটিকে পাঠ্য / এইচটিএমএল হিসাবে রেন্ডার করে।

http://stopmalvertising.com/security/securing-your-website-with-.htaccess/.htaccess-http-headers.html

মাইক্রোসফ্ট আইআইএস সার্ভারগুলির জন্য, আপনি এই web.configফাইলটি আপনার ফাইলের মাধ্যমে সক্ষম করতে পারেন :

<system.webServer>
    <httpProtocol>
      <customHeaders>
        <remove name="X-Content-Type-Options"/>
        <add name="X-Content-Type-Options" value="nosniff"/>
      </customHeaders>
    </httpProtocol>
</system.webServer>

এবং আপনি সম্পন্ন হয়েছে।

এক্স-সামগ্রী-প্রকার-বিকল্প প্রতিক্রিয়া এইচটিটিপি শিরোনাম সার্ভার দ্বারা ব্যবহৃত একটি চিহ্নিতকারী যা কনটেন্ট-টাইপ শিরোলেখগুলিতে বিজ্ঞাপন দেওয়া মাইমির ধরণগুলি পরিবর্তন করা উচিত নয় এবং অনুসরণ করা উচিত। এটি মাইম টাইম স্নিফিং থেকে অপ্ট আউট করার অনুমতি দেয় বা অন্য কথায়, এটি বলার উপায় যে ওয়েবমাস্টাররা জানত যে তারা কী করছে।

বাক্য গঠন :

এক্স-বিষয়বস্তু-প্রকারের বিকল্প: নোসনিফ

দিকনির্দেশনা:

nosniff অনুরোধটিকে প্রকারভেদ করা হয় যদি "প্রকার" হয় এবং মাইমে টাইপটি "পাঠ্য / সিএসএস", বা "" স্ক্রিপ্ট "না হয় এবং MIME প্রকারটি জাভাস্ক্রিপ্ট MIME টাইপ নয়।

দ্রষ্টব্য: নসনিফ কেবল "স্ক্রিপ্ট" এবং "স্টাইল" ধরণের ক্ষেত্রে প্রযোজ্য। চিত্রগুলিতে নসনিফ প্রয়োগ করাও বিদ্যমান ওয়েবসাইটগুলির সাথে বেমানান।

নির্দিষ্টকরণ:

https://fetch.spec.whatwg.org/#x-content-type-options-header