内容类型错误陈述
描述:内容类型错误陈述
如果响应指定不正确的内容类型,则浏览器可以以意想不到的方式处理响应。如果将内容类型指定为可呈现的基于文本的格式,则浏览器通常会尝试将响应解释为以这种格式,无论响应的实际内容如何。另外,由于特定浏览器中的怪癖,有时可能会被解释为HTML的其他一些特定的内容类型。此行为可能导致其他“安全”内容,例如呈现为HTML的图像,在某些条件下启用跨站点脚本攻击。
当受影响的资源被动态生成,由用户上载时,存在不正确的内容类型语句的存在通常仅构成安全漏洞,或者包含用户输入。您应该查看受影响的响应的内容,以及它们出现的上下文,以确定是否存在任何漏洞。
修复:内容类型错误地说明
对于包含消息正文的每个响应,应用程序应包括单个内容类型标题,可正确且明确地指定响应主体中内容的MIME类型。
此外,响应标题“x-content-type - 选项:nosniff”应在所有响应中返回,以减少浏览器将以忽略内容类型标题的方式解释内容的可能性。
参考
漏洞分类
典型的严重性
低的
类型索引(十六进制)
0x00800400.
类型索引(十进制)
8389632