Я роблю тест на проникнення на мій локальний хост за допомогою OWASP ZAP, і він постійно повідомляє про це повідомлення:
Параметр X-Content-Type-Options для заголовка Anti-MIME-Sniffing не встановлено як "nosniff"
Ця перевірка стосується Internet Explorer 8 та Google Chrome. Переконайтеся, що на кожній сторінці встановлюється заголовок типу вмісту та опції X-CONTENT-TYPE-OPTIONS, якщо заголовок типу Content-Type невідомий
Я поняття не маю, що це означає, і я нічого не зміг знайти в Інтернеті. Я спробував додати:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
але я все одно отримую попередження.
Який правильний спосіб встановлення параметра?
for servers hosting untrusted content
. Для веб-сайтів, які не відображають вміст із завантажених користувачами, це не потрібно встановлювати.