Форум Сайтостроение Безопасность

security: missing X-Content-Type-Options Header

Genius Ideaing
На сайте с 12.02.2024
Offline
57
Genius Ideaing
1028

здравствуйте

при   анализе сайта выдает много страниц с ошибкой - предупреждением


в проге написано

Description

URLs that are missing the 'X-Content-Type-Options' response header with a 'nosniff' value. In the absence of a MIME type, browsers may 'sniff' to guess the content type to interpret it correctly for users. However, this can be exploited by attackers who can try and load malicious code, such as JavaScript via an image they have compromised.


How To Fix

To minimise security issues, the X-Content-Type-Options response header should be supplied and set to 'nosniff'. This instructs browsers to rely only on the Content-Type header and block anything that does not match accurately. This also means the content-type set needs to be accurate.


подскажите пожалуйста что куда прописать чтобы при сканировании сайта таких ошибок не было?

читал доки.

тырял 

add_header X-Content-Type-Options nosniff;

в ningx

Header always set X-Content-Type-Options "nosniff"

в апатч

ничего не получается

то апач перестает работать,

то вообще ничего не происходит

ошибки на страницах при сканировании сохраняются

ОС Debian 5

прошу спецов системщиков помочь

P.S. во вложении картинку с проблемой смотрите

картинка в текст поста не вставляется почему то

png 1.png
Дешёвый хостинг и домены: https://clck.ru/3FxXCa / Мощный хостинг: https://clck.ru/3DKmVu / Есть Идеи! Ищу хороших людей для реализации этих идей! Мой Telegram: https://clck.ru/396JFF
Genius Ideaing
На сайте с 12.02.2024
Offline
57
Genius Ideaing
#1
Genius Ideaing
На сайте с 12.02.2024
Offline
57
Genius Ideaing
#2
Realizer Realizer #:

заработала на форуме вставка изображений в посты...

вот эта ошибка из программы Screaming Frog

поможете?

Виктор Горняков
На сайте с 25.09.2006
Offline
174
Виктор Горняков
#3

попробуй прописать для сайта в /etc/nginx/sites-available в .vhost

add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
add_header Referrer-Policy "strict-origin";
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security "max-age=94608000; includeSubDomains; preload";
add_header Permissions-Policy "geolocation=()";
#add_header Cache-Control "public, max-age=946080";
add_header Content-Security-Policy "img-src *";
add_header Set-Cookie "Path=/; HttpOnly; SameSite=Strict; Secure";

Не забудь перезагружать nginx всегда после изменений

МСК серверы: VPS (VDS) CPU: ОТ 1 ЯДРА/RAM: ОТ 1024MB/SSD: ОТ 10 GB/+ МЕСТО ПОД БЭКАПЫ/IPV4: 1 ШТ от 104 ₽ в мес ---> https://bit.ly/qwartaru
Genius Ideaing
На сайте с 12.02.2024
Offline
57
Genius Ideaing
#4
Виктор Горняков #:
add_header X-Content-Type-Options nosniff;

добавил в nginx для хоста

скрипты на php (страницы сайта на php) теперь не выдают предупреждение missing the 'X-Content-Type-Options'

но предупреждения продолжают сыпаться для графических файлов png, gif, jpg

с этим что-то можно сделать?

работа с изображением и .htaccess, как изменить внутренний Как убрать баннерный код
Genius Ideaing
На сайте с 12.02.2024
Offline
57
Genius Ideaing
#5
Realizer Realizer #:
но предупреждения продолжают сыпаться для графических файлов png, gif, jpg

а также предупреждения для внешних файлов JavaScript.....

WebAlt
На сайте с 02.12.2007
Offline
259
WebAlt
#6
Realizer Realizer :
ОС Debian 5

Где нашёл такую?

Realizer Realizer :

в апатч

ничего не получается

Для  Apache или  Apache+Nginx поищи подобный файл:

/etc/apache2/conf-available/security.conf 

Добавить вниз или раскомментировать строку:

Header set X-Content-Type-Options: "nosniff"

после перезагрузить.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий