如何将Websphere 7配置为在响应头中始终包含“X-Content Options:nosniff”?
如何将Websphere 7配置为在响应头中始终包含“X-Content Options:nosniff”?
提问于 2015-09-10 07:58:10
我正在使用OWASP进行应用程序扫描,并得到了这份报告。我认为,配置是在所有响应头中包含报头--这是一种方法。谢谢你所有的回答。
漏洞:反MIME嗅探标头X内容类型选项没有设置为“nosniff”。这允许早期版本的Internet和Chrome在响应体上执行MIME嗅探,从而可能导致响应体被解释并显示为声明的内容类型以外的内容类型。Firefox的当前版本(2014年初)和遗留版本将使用声明的内容类型(如果设置的话),而不是执行MIME嗅探。
建议的解决方案:为资源设置"X-Content-Type-Options: nosniff“标题(javascript、css等)直接由web服务器提供的服务。这可以通过服务器配置来完成,因此这可能涉及文档更新。
受影响的URL/资源:https://css-acme-tst.usmt0520.lpc.lawson.com/sso/domain.js https://css-acme-tst.usmt0520.lpc.lawson.com/sso/login.css
到目前为止我所做的。
我所做的就是这个。我将标记放在注释掉属性模块/mod_ header ers.so之后,然后重新启动我的appserver,但仍然是相同的响应头。
LoadModule headers_module modules/mod_headers.so
<Directory mod_headers.c>
Header always set X-Content-Type-Options nosniff
</Directory>回答 1
Stack Overflow用户
发布于 2015-09-11 09:42:54
尝试将其放入IfModule或VirtualHost中。
我试过这个,效果很好:
LoadModule headers_module modules/mod_headers.so
<IfModule mod_headers.c>
Header always set X-Content-Type-Options nosniff
</IfModule>页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/32496252
复制相关文章
相似问题
腾讯云开发者
