Content-Type 헤더 누락
설명
Content-Type 헤더는 사용자 에이전트가 수신하는 데이터를 올바르게 해석하도록 보장합니다. 이 헤더가 전송되지 않으면 브라우저가 데이터를 잘못 해석할 수 있어 MIME 혼동 공격을 일으킬 수 있습니다. 공격자가 브라우저를 통해 액세스할 수 있는 파일을 업로드할 수 있다면, HTML로 해석될 수 있는 파일을 업로드하여 Cross-Site Scripting (XSS) 공격을 실행할 수 있습니다.
복구
모든 리소스가 자신의 형식과 일치하는 적절한 Content-Type 헤더를 반환하도록 보장합니다. 예를 들어, JavaScript 파일을 반환할 때는 응답 헤더가 Content-Type: application/javascript여야 합니다.
추가적인 보호를 위해, 모든 리소스가 X-Content-Type-Options: nosniff 헤더를 반환하여 사용자 에이전트가 리소스를 잘못 해석하는 것을 방지하는 것을 권장합니다.
Details
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 16.1 | true | 16 | Passive | Low |
도움말