发行背景在响应。缺乏此标头导致某些浏览器,请尝试即使在这些方面确定响应的内容类型和编码属性定义正确。这可以使Web应用程序易受伤害反对跨站点脚本(XSS)攻击。例如。互联网资源管理器和Safari用内容类型的文本/平原作为html处理响应,如果包含HTML标签。
问题修复
至少在包含用户的所有响应中设置以下HTTP标头输入:
x-content-type-options:nosniff
我如何以及在哪里添加?
我正在使用Codeigniter 3.0.1
在用于设置应用程序环境的index.php文件中添加以下标题:
header('X-Content-Type-Options: nosniff');
另外,您可以在Apache服务器(首选)上设置它。您可以通过修改Apache设置或.HTACCESS文件并将以下行添加到它来启用它:
<IfModule mod_headers.c>
Header set X-Content-Type-Options nosniff
</IfModule>
如果您使用的是codeigniter 3.0.1
转到系统 -> core-> output.php-> __ construct()
并添加
$headerTemp = 'X-Content-Type-Options: nosniff';
$this->headers[] = array($headerTemp, TRUE);