Content-Type 헤더 누락

설명

Content-Type 헤더는 사용자 에이전트가 수신되는 데이터를 올바르게 해석하도록 보장합니다. 이 헤더가 전송되지 않으면 브라우저가 데이터를 잘못 해석하여 MIME 혼동 공격이 발생할 수 있습니다. 공격자가 브라우서를 사용하여 접근할 수 있는 파일을 업로드할 수 있다면, HTML로 해석될 수 있는 파일을 업로드하여 크로스사이트 스크립팅(XSS) 공격을 실행할 수 있습니다.

해결 방법

모든 리소스가 해당 형식에 맞는 적절한 Content-Type 헤더를 반환하는지 확인하세요. 예를 들어, JavaScript 파일을 반환할 때, 응답 헤더는 다음과 같아야 합니다: Content-Type: application/javascript

추가 보호를 위해, 모든 리소스가 X-Content-Type-Options: nosniff 헤더를 반환하여 사용자 에이전트가 리소스를 잘못 해석하지 못하도록 할 것을 권장합니다.

상세정보

ID 집계됨 CWE 유형 위험
16.1 true 16 Passive Low

링크