当前位置：首页 > news >正文

安全头响应头(三)X-Content-Type-Options

news 2026/2/2 18:28:38

一 X-Content-Type-Options响应头

说明：先写个'框架',后续补充

思考：请求类型是 "style" 和 "script" 是什么意思?

script标签 style StyleSheet

JavaScript MIME type

文件扩展和Content-Type的映射关系

场景： 一个'.jpg的图片文件'被恶意嵌入了可'执行'的'js'代码

① 基础铺垫

nginx(十八)mime.types的作用

+++++++ "列举CDN一个应用场景:避免nginx默认的Content-Type元数据" +++++++types {}default_type '';特点： 此时'nginx'不返回'Content-Type'响应头,完全由'浏览器'自行判断

② 浏览器默认行为

1) 互联网上的资源有'各种类型',通常浏览器会根据'响应头的Content-Type字段'来'分辨'它们的类型2) 例如："text/html"代表html文档、"image/png"是PNG图片、"text/css"是CSS样式文档3) 然而'有些资源的Content-Type'是'错的'或者'未定义[最常见]'ps：这时某些浏览器会'启用MIME-sniffing'来'猜测'该资源类型,'解析'内容并'执行' --> "默认"1、给一个html文件指定Content-Type为"text/plain"，在IE8中会被当做html来解析2、利用浏览器的这个特性,攻击者甚至可以让'原本应该解析为图片'的请求被解析为'js'遗留： X-Content-Type-Options: nosniff  --> "禁用浏览器的类型猜测行为"+++++++++++++++++++  "案例讲解"  +++++++++++++++++++

# 1) 取消nginx'默认'的 mime.types配置
types        { } # 2) 指定css文件返回指定content-type      
default_type text/html;

③ 问题引入

1、资源'展示'

2、这里'简化'nginx.conf配置,只做了'核心'说明

3、测试'现象'

现象： url请求'.css和.js 静态文件',nginx 返回的Content-Type是'text/html'chrome '报错'：1、Refused to execute script from 'xxx.js' 2、because its MIME type ('text/html') is not executable,3、and strict MIME type checking is enabled强调：作为'运维人员',尽可能的'保留'和'还原'案发的'事故'现场疑惑：为什么没有根据'mine.type'返回正确的'Content-Type'?

现象及其相似

index.html 'meta text/html' 中通过'<script src="js/min.wzj.js">'相对路径'加载'文件++++++++++ "题外话" ++++++++++location ~* min.wzj.js$ {alias /home/kiosk/WebstormProjects/form/js/min.wzj.js }

location和alias的搭配问题

1、原因：是不是'原来'是好的,然后加了'安全加固'造成的add_header X-Content-Type-Options: nosniff2、观察： 是'nginx返回静态资源'还是后端'返回'的通过'$upstream_addr'或'sent_http_content_type'判断备注：对比'$upstream_http_content_type'和'sent_http_content_type' -->"加工处理"补充： 定义一个'独一无二的响应头[加always]'放到对应的location中,看'到底生效了没'?附加： 在client看'异常url'的响应体,也'可以'辅助理解3、排错1、如果是'后端返回错误的Content-Type',nginx如何能拦截?2、如果是'nginx自身返回错误的Content-Type',如何排查呢?3、诡异: nginx把'图片'识别为'text/html',加了add_header都'不管用'4、遗留： nginx是根据'$request_uri'还是'$uri' 是查找'静态'资源?

安全头响应头(三)X-Content-Type-Options

一 X-Content-Type-Options响应头说明：先写个框架,后续补充思考：请求类型是 "style" 和 "script" 是什么意思? script标签 style StyleSheet JavaScript MIME type 文件扩展和Content-Type的映射关系场景： 一个…...

编程日记 2023/8/16 17:46:10

13 计算机视觉-代码详解

13.2 微调为了防止在训练集上过拟合，有两种办法，第一种是扩大训练集数量，但是需要大量的成本；第二种就是应用迁移学习，将源数据学习到的知识迁移到目标数据集，即在把在源数据训练好的参数和模型&#xff…...

编程日记 2023/8/16 17:45:06

jupyter打开ipynb后，还没有运行cell，反复报错

今天遇到了一个比较奇怪的问题： 这个原因是当前目录下有一个code.py的文件，一旦打开ipynb，就是先执行code.py，而且遇到报错，还会反复执行，导致内核崩溃。...

编程日记 2023/8/16 17:44:05

一台阿里云服务器怎么部署多个网站？以CentOS系统为例

本文阿里云百科介绍如何在CentOS 7系统的ECS实例上使用Nginx搭建多个Web站点。本教程适用于熟悉Linux操作系统，希望合理利用资源、统一管理站点以提高运维效率的用户。比如，您可以在一台云服务器上配置多个不同分类的博客平台或者搭建多个Web站点实现复杂…...

编程日记 2023/8/16 17:43:02

history记录日期时间和日志记录操作

history命令能查看到操作日期和时间的配置方法： 1）在/etc/profile文件中添加一行： export HISTTIMEFORMAT"%F %T whoami " 2）保存后，执行加载命令： source /etc/profile 3）然后检…...

编程日记 2023/8/16 17:42:00

RocketMQ 单机源码部署自定义配置文件和端口以及acl权限配置解析

思路 1、我们首先配置完 namesrv和broker和acl认证的配置文件，然后直接使用-c指定配置文件来启动程序，就会非常明了，用户名密码要大于6，第一个用户我测试着不知道为什么始终有最高权限，大家尽量不要吧第一个用户给别人…...

编程日记 2023/8/16 17:40:58

NuGet控制台命令初步使用

查看所有安装的包， 查找包，提示Nuget版本低；安装一个更高版本； 查看所有安装的包， 查找名字包含某字符串的包， 查找名字包含某字符串的包， 安装，使用-version指定版本，可…...

编程日记 2023/8/16 17:39:55

2023年国赛数学建模思路 - 案例：FPTree-频繁模式树算法

文章目录算法介绍FP树表示法构建FP树实现代码建模资料 ## 赛题思路 （赛题出来以后第一时间在CSDN分享） https://blog.csdn.net/dc_sinor?typeblog 算法介绍 FP-Tree算法全称是FrequentPattern Tree算法，就是频繁模式树算法&#xff0c…...

编程日记 2023/8/16 17:38:53

Positive Technologies：有针对性的攻击占非洲所有攻击的 68%

网络犯罪分子最常攻击的是非洲的金融公司和电信公司 Positive Technologies 分析了 2022–2023 年非洲遇到的各种网络安全威胁，并在圣彼得堡举行的第二届俄罗斯—非洲峰会上介绍了研究结果。根据我们的专家的介绍，非洲金融部门受到的网络攻击最多&#…...

编程日记 2023/8/16 17:37:50

Flink CDC系列之：TiDB CDC 导入 Elasticsearch

Flink CDC系列之：TiDB CDC 导入 Elasticsearch 一、通过docker 来启动 TiDB 集群二、下载 Flink 和所需要的依赖包三、在TiDB数据库中创建表和准备数据四、启动Flink 集群，再启动 SQL CLI五、在 Flink SQL CLI 中使用 Flink DDL 创建表六、Kibana查看Ela…...

编程日记 2023/8/16 17:36:48

未来混合动力汽车的发展：技术探索与前景展望

随着环境保护意识的增强和对能源消耗的关注，混合动力汽车成为了汽车行业的研发热点。混合动力汽车融合了传统燃油动力和电力动力系统，通过优化能源利用效率，既降低了燃油消耗和排放，又提供了更长的续航里程。本文将探讨混合动力汽…...

编程日记 2023/8/16 17:35:47

C进阶（2/7）前篇——指针进阶

前言：本文章讲解部分指针进阶内容。后续继续更新。文章重点： 1. 字符指针 2. 数组指针 3. 指针数组 4. 数组传参和指针传参目录前言：本文章讲解部分指针进阶内容。后续继续更新。指针初阶了解： 1.字符指针 1.1一道有关于字…...

编程日记 2023/8/16 17:34:46

C 内存分配器 mimalloc

有论文 … … https://www.microsoft.com/en-us/research/publication/mimalloc-free-list-sharding-in-action/ 可以减少内存碎片,微软研究院2019 年开源出的内存分配器代码,适配linux...

编程日记 2023/8/16 17:33:44

leetcode做题笔记74搜索二维矩阵

给你一个满足下述两条属性的 m x n 整数矩阵： 每行中的整数从左到右按非递减顺序排列。每行的第一个整数大于前一行的最后一个整数。给你一个整数 target ，如果 target 在矩阵中，返回 true ；否则，返回 false 。思…...

编程日记 2023/8/16 17:32:43

深信服数据中心管理系统 XXE漏洞复现

0x01 产品简介深信服数据中心管理系统DC为AC的外置数据中心，主要用于海量日志数据的异地扩展备份管理，多条件组合的高效查询，统计和趋势报表生成，设备运行状态监控等功能。 0x02 漏洞概述深信服数据中心管理系统DC存在XML外部实…...

编程日记 2023/8/16 17:31:42

【Kubernetes】Kubernetes的Pod进阶

Pod进阶一、资源限制和重启策略1. 资源限制2. 资源单位2.1 CPU 资源单位2.2 内存资源单位 3. 重启策略（restartPolicy） 二、健康检查的概念1. 健康检查1.1 探针的三种规则1.2 Probe 支持三种检查方法 2. 示例2.1 exec 方式2.2 httpGet 方式2.3 tcpSock…...

编程日记 2023/8/16 17:30:40

都错了！机械硬盘远比SSD更省电最多领先94％

相信在绝大多数人的认知中，SSD固态硬盘因为没有HDD机械硬盘那样的移动部件，不但更稳定，还更省电。但是，存储服务商Scality的研究表明，恰恰相反，HDD更省电。他们以美光6500 ION 30.72TB QLC SSD、希捷银河…...

编程日记 2023/8/16 17:29:39

tomcat设置PermSize

最近tomcat老是报错,查看了日志出现PermGen 内存不够用,重启tomcat后查询使用情况通过启动参数发现没有设置 PermGen,继续通过jmap查看 jmap -heap 21179 发现99%已使用,而且默认是30.5M,太小了,这里设置成256M 1. 创建setenv.sh文件在/usr/local/tomcat/bin目录下创建一个…...

编程日记 2023/8/16 17:28:37

JVM——分代收集理论和垃圾回收算法

一、分代收集理论 1、三个假说弱分代假说：绝大多数对象都是朝生夕灭的。强分代假说：熬过越多次垃圾收集过程的对象越难以消亡。这两个分代假说共同奠定了多款常用的垃圾收集器的一致的设计原则：收集器应该将Java堆划分出不同的区域&…...

编程日记 2023/8/16 17:27:36

jar包独立运行的几种方式

linux启动jar包的方式,直接运行与守护进程运行通常我们开发好的程序需要打成war/jar包,在linux运行,war包好说直接丢在tomcat中即可,如果开发好的程序为jar包的话,方式比较多直接启动(java-jar xxx.jar) java -jar shareniu.jar 特点：当前ssh窗口被锁定&#x…...

编程日记 2023/8/16 17:26:35

React hook之useRef

React useRef 详解 useRef 是 React 提供的一个 Hook，用于在函数组件中创建可变的引用对象。它在 React 开发中有多种重要用途，下面我将全面详细地介绍它的特性和用法。基本概念 1. 创建 ref const refContainer useRef(initialValue);initialValu…...

编程新知 2025/6/11 15:21:26

《Qt C++ 与 OpenCV：解锁视频播放程序设计的奥秘》

引言：探索视频播放程序设计之旅在当今数字化时代，多媒体应用已渗透到我们生活的方方面面，从日常的视频娱乐到专业的视频监控、视频会议系统，视频播放程序作为多媒体应用的核心组成部分，扮演着至关重要的角色。无论是在个人电脑、移动设备还是智能电视等平台上，用户都期望…...

编程新知 2026/1/25 1:05:45

可靠性+灵活性：电力载波技术在楼宇自控中的核心价值

可靠性灵活性：电力载波技术在楼宇自控中的核心价值在智能楼宇的自动化控制中，电力载波技术（PLC）凭借其独特的优势，正成为构建高效、稳定、灵活系统的核心解决方案。它利用现有电力线路传输数据，无需额外布…...

编程新知 2025/9/27 2:43:26

Cinnamon开始菜单-CSDN博客设置模块都是做好的，比GNOME简单得多！ 在 applet.js 里增加 const Settings imports.ui.settings;this.settings new Settings.AppletSettings(this, HTYMenusonichy, instance_id); this.settings.bind(menu-icon, menu…...

编程新知 2026/1/31 14:56:22

微服务商城-商品微服务

数据表 CREATE TABLE product (id bigint(20) UNSIGNED NOT NULL AUTO_INCREMENT COMMENT 商品id,cateid smallint(6) UNSIGNED NOT NULL DEFAULT 0 COMMENT 类别Id,name varchar(100) NOT NULL DEFAULT COMMENT 商品名称,subtitle varchar(200) NOT NULL DEFAULT COMMENT 商…...

编程新知 2026/1/29 18:30:30

SpringCloudGateway 自定义局部过滤器

场景： 将所有请求转化为同一路径请求（方便穿网配置）在请求头内标识原来路径，然后在将请求分发给不同服务 AllToOneGatewayFilterFactory import lombok.Getter; import lombok.Setter; import lombok.extern.slf4j.Slf4j; impor…...

编程新知 2026/2/1 4:53:36