Activation de l'en-tête X-Content-Type-Options
Vous pouvez configurer les paramètres d'en-tête X-Content-Type-Options pour vous aider à bloquer le reniflage de contenu. La valeur par défaut indique que les types MIME annoncés dans les en-têtes Content-Type ne doivent pas être modifiés et suivis.
About this task
Vous pouvez aider à protéger votre site contre les attaques de reniflage MIME à l'aide de l'en-tête X-Content-Type-Options. Il existe des problèmes de sécurité, car certains types MIME représentent un contenu exécutable.
Pour plus d'informations sur cet en-tête, voir X-Content-Type-Options sur le site de documentation Mozilla.
La valeur suivante est utilisée pour votre en-tête
X-Content-Type-Options :- nosniff
- Bloque une requête si la destination de la requête est de type :
- "style" et le que le type MIME n'est pas
text/css, ou - "script" et le type MIME n'est pas un type JavaScript MIME
- "style" et le que le type MIME n'est pas
Procedure
-
La classe du serveur de transactions
HttpSecurityFilterajoute un en-têteX-Content-Type-Optionsà la réponse en fonction de la configuration spécifiée dans la base wc-component.xml. Elle est activée par défaut pour le WAR REST-Transaction suivant par défaut comme suit :<_config:configgrouping name="HttpSecuritySettings_Rest-Transaction"> <!-- Set the value to "true" to enable X-Content-Type-Options header with value of "nosniff". Prevents the browser from interpreting files as a different MIME type to what is specified in the Content-Type HTTP header (e.g. treating text/plain as text/css). --> <_config:property name="XContentTypeOptionsHeader" value="true"/> </_config:configgrouping> -
Pour personnaliser la valeur d'en-tête
X-Content-Type-Optionsou pour la spécifier pour d'autres WAR, ajoutez la propriété correspondante à votre fichier wc-component.xml de base étendu. Pour plus d'informations sur la façon de créer un fichier de configuration personnalisé, voir Modification des propriétés dans le fichier de configuration du HCL Commerce (wc-component.xml).