eyesofkhepri

2. X-Content-Type-Options 본문

nginx

2. X-Content-Type-Options

eyesofkhepri 2017. 12. 12. 10:56

2. X-Content-Type-Options: nosniff

잘못된 MIME형식 혼동을 기반으로 하는 공격을 차단하기 위해서 X-Content-Type-Options가 nosniff응답 해더를 보내면 잘못된 MIME형식이 포함된 요청건에 관해서 서버는 응답을 거부합니다. 

서버에서 X-Content-Type-Option이 nosniff 해더를 전송하면 브라우저에선 아래와 같이 동작합니다.

stylesheet

브라우저에서 styleSheet를 요청할때 MIME 형식이 text/css가 아니면 파일을 로드하지 않습니다.

script

script를 요청할때 MIME 형식이 아래와 같지 않으면 파일을 로드하지 않습니다.

  • application/ecmascript
  • application/javascript
  • application/x-javascript
  • text/ecmascript
  • text/javascript
  • text/jscript
  • text/x-javascript
  • text/vbs
  • text/vbscript

예제

add_header X-Content-Type-Options: nosniff


저작자표시 비영리 변경금지

'nginx' 카테고리의 다른 글

4. NginX 설치  (0) 2018.03.23
3. ngx_http_realip_module  (0) 2017.12.12
1. X-Frame-Options과 ClickJacking  (0) 2017.12.12
공유하기 링크
'nginx' Related Articles more
Comments