我正在使用OWASP进行应用程序扫描,并得到了这个报告。我认为的是,配置WAS在所有响应头中包括头,如果有一种方法。提前感谢你们的回答。
漏洞:anti - mime -嗅探头X-Content-Type-Options没有设置为nosniff。处理步骤这允许旧版本的Internet Explorer和Chrome对响应体执行mime嗅探,可能导致响应体被解释并显示为声明的内容类型以外的内容类型。当前(2014年初)和遗留版本的Firefox将使用声明的内容类型(如果设置了),而不是执行mime嗅探。
建议解决方案:为web服务器直接提供的资源(javascript, css等)设置"X-Content-Type-Options: nosniff"标头。这可以通过服务器配置完成,因此这可能涉及文档更新。
受影响的url/资源:https://css-acme-tst.usmt0520.lpc.lawson.com/sso/domain.jshttps://css-acme-tst.usmt0520.lpc.lawson.com/sso/login.css
我到目前为止所做的。
我所做的就是这样。我将标签放在注释掉属性模块/mod_headers之后。所以重新启动我的应用服务器,但仍然是相同的响应头。
LoadModule headers_module modules/mod_headers.so
<Directory mod_headers.c>
Header always set X-Content-Type-Options nosniff
</Directory>
尝试将其放入IfModule或VirtualHost中。
我试过这个,它工作得很好:
LoadModule headers_module modules/mod_headers.so
<IfModule mod_headers.c>
Header always set X-Content-Type-Options nosniff
</IfModule>