it-swarm.com.de

Wie verwende ich X-Content-Type-Options für CSS- und PNG-Dateien?

Ich habe diesen Code in meiner Initialisierungsdatei.

header("Content-Security-Policy: default-src 'none'; script-src 'self';
        connect-src 'self'; img-src 'self'; style-src 'self' 'unsafe-inline';");
header("X-XSS-Protection: 1; mode=block");
header('X-Content-Type-Options: nosniff');

Dieser Code funktioniert, aber mein Problem ist, dass er nur im Dokument (localhost) funktioniert. In den Dateien .css und .png funktioniert er nicht.

Hier sind die Screenshots:

Dokument (localhost)

enter image description here

. CSS-Datei

enter image description here

. png-Datei

enter image description here

Wie kann ich eine Header-Antwort auf die Dateien .css und .png geben? dareboost gab mir diese Notiz:

Deaktiviert die automatische Erkennung des Ressourcentyps

Schützen Sie sich vor böswilliger Ausbeutung durch MIME-Sniffing.

Erklärtes Sniffing nach MIME-Typ

Internet Explorer- und Chrome -Browser verfügen über eine Funktion namens "MIME-Type Sniffing", die den Typ einer Webressource automatisch erkennt. Dies bedeutet beispielsweise, dass eine als Bild identifizierte Ressource als Skript gelesen werden kann, wenn es sich bei ihrem Inhalt um ein Skript handelt.

Mit dieser Eigenschaft kann eine böswillige Person eine Datei an Ihre Website senden, um böswilligen Code einzufügen. Wir empfehlen Ihnen, das MIME-Typ-Sniffing zu deaktivieren, um solche Aktivitäten einzuschränken.

So verhindern Sie MIME-Sniffing

Konfigurieren Sie einen HTTP-Header "X-Content-Type-Options". Fügen Sie den HTTP-Header "X-Content-Type-Options" in die Antworten jeder Ressource ein, die dem Wert "nosniff" zugeordnet sind. Damit können Sie sich vor solchen Fehlinterpretationen Ihrer Ressourcen schützen.

Auf dieser Seite sollten Sie die folgenden Ressourcen konfigurieren, die möglicherweise falsch interpretiert werden:

http://www.example.com/path/style.css
http://www.example.com/path/logo.png
http://www.example.com/path/icon.png

Wie mache ich das?

2
Dumb Question

Sie können diese HTTP-Antwortheader in Ihrer Serverkonfiguration (oder in der .htaccess -Datei) festlegen. Wenn Sie beispielsweise den HTTP-Antwortheader X-Content-Type-Options nur auf die Dateien .css und .png anwenden möchten, gehen Sie folgendermaßen vor:

<FilesMatch "\.(css|png)$">
    Header set X-Content-Type-Options nosniff
</FilesMatch>
0
MrWhite