Opciones de tipo de contenido X sin tipo de contenido

3

X-Content-Type-Options ayuda a proteger contra ataques que aprovechan el navegador tratando de interpretar las respuestas HTTP con un Content-Type declarado incorrectamente.

Pero, ¿qué sucede cuando la respuesta HTTP establece el encabezado X-Content-Type-Options pero no el encabezado Content-Type ?

¿El navegador seguirá "oliendo" o tendrá un cierto valor predeterminado?

    
pregunta Silver 05.10.2017 - 17:14
fuente

1 respuesta

1

Encontró la respuesta en la misma página :

  
  1. Permita que mimeType sea el resultado de extraer un tipo MIME de la respuesta   lista de encabezados
  2.   
  3. Deja que el destino sea el destino de la solicitud.
  4.   
  5. Si el destino es similar a un script y mimeType (ignorando parámetros) no es   un tipo MIME de JavaScript, luego se devuelve bloqueado.
  6.   
  7. Si el destino es "estilo" y mimeType (ignorando los parámetros) no es text/css , entonces el retorno está bloqueado.
  8.   
  9. Devolución permitida.
  10.   

Supongo que, dado que no hay un tipo MIME declarado, el paso 3 nunca vuelve bloqueado. En mi caso, tampoco hay un destino, por lo que terminamos en el paso 5 - > permitido.

Editar: En los pasos 3 y 4, un tipo mime vacío no será un tipo mime javascript o un tipo mime text / css. Por lo tanto, la solicitud se bloqueará si el destino coincide.

    
respondido por el Silver 06.10.2017 - 09:46
fuente

Lea otras preguntas en las etiquetas