Безбедносна заглавља су подскуп заглавља ХТТП одговора које може да подеси веб сервер од којих свако примењује безбедносну контролу у прегледачима. ХТТП заглавља су облик метаподатака послатих са веб захтевима и одговорима. Сигурносно заглавље „Кс-Цонтент-Типе-Оптионс“ спречава претраживаче да врше МИМЕ сниффинг.
Напомена: ХТТП заглавља нису ексклузивна за ХТТП и такође се користе у ХТТПС-у.
Шта је МИМЕ њушкање?
Када се било који податак шаље преко веба, један од укључених делова метаподатака је МИМЕ тип. Вишенаменске екстензије за Интернет пошту или МИМЕ типови су стандард који се користи за дефинисање типа података који датотека садржи, што указује на то како треба руковати датотеком. Типично, МИМЕ-тип се састоји од типа и подтипа са опционим параметром и вредношћу. На пример, текстуална датотека УТФ-8 би имала МИМЕ тип „тект/плаин; цхарсет=УТФ-8”. У том примеру, тип је „текст“, подтип је „обичан“, параметар је „цхарсет“, а вредност је „УТФ-8“.
Да би спречили погрешно означавање и руковање датотекама, веб сервери обично врше МИМЕ сниффинг. Ово је процес у коме се експлицитно наведен МИМЕ-тип занемарује, а уместо тога се анализира почетак датотеке. Већина типова датотека укључује секвенце заглавља које указују на врсту датотеке. Већину времена, МИМЕ типови су исправни, а њушкање датотеке нема никакву разлику. Међутим, ако постоји разлика, веб сервери ће користити њушкани тип датотеке да би одредили како да рукују датотеком, а не декларисани МИМЕ тип.
Проблем настаје ако нападач успе да отпреми датотеку као што је ПНГ слика, али датотека је заиста нешто друго попут ЈаваСцрипт кода. За сличне типове датотека, као што су две врсте текста, то можда неће изазвати превелики проблем. Међутим, постаје озбиљан проблем ако се уместо тога може извршити савршено безопасна датотека.
Шта ради Кс-Цонтент-Типе-Оптионс?
Заглавље Кс-Цонтент-Типе-Оптионс има само једну могућу вредност „Кс-Цонтент-Типе-Оптионс: носнифф“. Омогућавање обавештава претраживач корисника да не сме да врши њушкање МИМЕ типа и да се уместо тога ослања на експлицитно декларисану вредност. Без овог подешавања, ако је злонамерна ЈаваСцрипт датотека била маскирана у слику као што је ПНГ, тада би се извршила ЈаваСцрипт датотека. Када су омогућене опције Кс-Цонтент-Типе-Оптионс, датотека ће се третирати као слика која не успе да се учита јер датотека није важећи формат слике.
Кс-Цонтент-Типе-Оптионс није посебно потребан на веб локацији која користи у потпуности изворе прве стране, јер нема шансе да се злонамерна датотека случајно прикаже. Ако веб локација користи садржај треће стране као што су екстерни ресурси или ресурси које је поднео корисник, Кс-Цонтент-Типе-Оптионс пружа заштиту од ове врсте напада.