Content-Type 헤더 누락
설명
Content-Type
헤더는 사용자 에이전트가 수신되는 데이터를 올바르게 해석하도록 보장합니다. 이 헤더가 전송되지 않으면 브라우저가 데이터를 잘못 해석하여 MIME 혼동 공격이 발생할 수 있습니다. 공격자가 브라우서를 사용하여 접근할 수 있는 파일을 업로드할 수 있다면, HTML로 해석될 수 있는 파일을 업로드하여 크로스사이트 스크립팅(XSS) 공격을 실행할 수 있습니다.
해결 방법
모든 리소스가 해당 형식에 맞는 적절한 Content-Type
헤더를 반환하는지 확인하세요. 예를 들어, JavaScript 파일을 반환할 때, 응답 헤더는 다음과 같아야 합니다: Content-Type: application/javascript
추가 보호를 위해, 모든 리소스가 X-Content-Type-Options: nosniff
헤더를 반환하여 사용자 에이전트가 리소스를 잘못 해석하지 못하도록 할 것을 권장합니다.
상세정보
ID | 집계됨 | CWE | 유형 | 위험 |
---|---|---|---|---|
16.1 | true | 16 | Passive | Low |