Я провел тесты на проникновение с использованием OWASP ZAP, и он вызывает следующее предупреждение для всех запросов: X-Content-Type-Options Header Missing
.
Я понимаю заголовок и почему это рекомендуется. Это очень хорошо объясняется в qaru.site/info/220972/....
Тем не менее, я нашел различные ссылки, которые указывают, что он используется только для файлов.js и.css и что на самом деле может быть плохо установить заголовок для других типов MIME:
- Примечание: nosniff применяется только к типам "сценарий" и "стиль". Также применение nosniff к изображениям оказалось несовместимым с существующими веб-сайтами. [1]
- В Firefox возникли проблемы с поддержкой nosniff для изображений (Chrome там не поддерживает). [2]
- Примечание. Современные браузеры уважают только заголовок для скриптов и таблиц стилей и отправка заголовка для других ресурсов (например, изображений), когда они обслуживаются с неправильным типом носителя, могут создавать проблемы в старых браузерах. [3]
Вышеприведенные ссылки (и другие) указывают на то, что плохо настроить этот заголовок для всех ответов, но, несмотря на следующие релевантные ссылки и поиск в Google, я не мог найти причин для этого аргумента.
Каковы риски/проблемы, связанные с настройкой X-Content-Type-Options: nosniff
и почему его следует избегать для типов MIME, отличных от text/css
и text/javascript
?
Или, если нет никаких рисков/проблем, почему Mozilla (и другие) предлагает, чтобы они были?