一、nosniff是什么
nosniff是一种HTTP响应头(HTTP response header),用于防止浏览器执行MIME类型错误的响应体(response body)。
所谓MIME类型错误,指的是在http响应头中指定的Content-Type与实际响应体返回的MIME类型不一致,这种情况下浏览器可能会忽略响应头中指定的Content-Type,执行实际响应体的MIME类型,造成安全风险。
nosniff头部的值为“X-Content-Type-Options: nosniff”,意为告诉浏览器禁止执行与Content-Type指定的类型不一致的响应内容。
// 示例代码
HTTP/1.1 200 OK
Content-Type: application/javascript;charset=utf-8
X-Content-Type-Options: nosniff
<script>alert('XSS')</script>
二、nosniff的作用机制
当服务器使用X-Content-Type-Options: nosniff响应头返回响应时,浏览器会强制执行Content-Type指定的类型,以保证用户安全。nosniff告诉浏览器,不要执行HTML内容的js脚本,不要执行JSON内容的html代码,不要执行plain/text类型的任何内容等等。
nosniff的作用是简单而直接的,它并不检测或修改响应的实际内容。相反,它只是告诉浏览器在读取响应之前忽略该响应的Content-Type,而只遵循响应头中的Content-Type。
另外,nosniff还可以防止图片注入攻击(pinhole attack),在HTML文档中,通过将数据URL Uri作为图片的src属性值发送到浏览器上来,使得待执行脚本可以完全掌控该图片的内容。如果响应头未包含nosniff标头,则浏览器可能会将图片识别为JavaScript文件,并在执行时将其解释为代码,从而导致XSS攻击。
三、nosniff的应用场景
nosniff主要应用于防范跨站脚本攻击(XSS)和“snippet-injection”攻击。Snippet-injection攻击是指把HTML代码嵌套到非HTML内容,浏览器会读取并解析该内容。这可能导致XSS攻击或把被诈骗者误导到包含恶意代码的站点。
nosniff一般都是跟X-XSS-Protection和Content-Security-Policy等安全头一起使用,从而使得Web应用更加安全。例如,Content-Security-Policy中添加了default-src 'none' 选项,当浏览器加载到一个非白名单内的内容时,该内容会被禁止执行,进而提高了应用安全性。
四、如何使用nosniff
在使用nosniff时,开发人员应该将其添加到服务器响应头中,示例代码如下:
X-Content-Type-Options: nosniff
nosniff是一个比较简单的安全头,大多数情况下,开发者并不需要过多考虑其的影响。一般而言,为了使得Web应用更加安全,nosniff可以随同其他安全头一起添加,从而最大限度地降低XSS的风险。
五、综合实例
下面是一段使用了nosniff的HTTP响应头的代码:
HTTP/1.1 200 OK
Content-Type: text/html;charset=utf-8
X-Content-Type-Options: nosniff
<html>
<head>
<title>nosniff Demo</title>
</head>
<body>
<script>
alert(""nosniff demo found"", ""nosniff warning"");
</script>
</body>
</html>
在这个例子中,我们通过在响应头中添加X-Content-Type-Options: nosniff头部,在浏览器读取HTML文件之前,强制指定Content-Type类型为text/html。这将阻止浏览器执行诸如JavaScript,CSS和其他非Text/HTML MIME类型的文件内容,有效地减少了跨站脚本攻击风险。