Kostenlos starten Anmelden

Wissensdatenbank

1 000 FAQs, 500 Anleitungen und erläuternde Videos. Hier gibt es nur Lösungen!

WissensdatenbankAutomatische Erkennung des Ressourcentyps (MIME-Type Sniffing) deaktivieren
Suchen

Automatische Erkennung des Ressourcentyps (MIME-Type Sniffing) deaktivieren

Aktualisierung 12.03.2026

Dieser Leitfaden erklärt, wie Sie Ihre Website und deren Besucher vor der missbräuchlichen Nutzung von MIME-Type-Sniffing schützen.

 

Vorwort

  • MIME-Type-Sniffing, oder MIME-Type-Erkennung, ist eine Technik, die von Webbrowsern verwendet wird, um den Inhaltstyp einer Ressource zu bestimmen, wenn der vom Server bereitgestellte MIME-Typ mehrdeutig, fehlt oder falsch ist.
  • Obwohl dies manchmal die Benutzererfahrung verbessern kann, indem der Inhalt trotz Serverkonfigurationsfehlern zugänglich gemacht wird, führt diese Funktion auch erhebliche Sicherheitslücken ein:
    • Wenn ein Browser MIME-Type-Sniffing durchführt, kann er eine Textdatei als ausführbares Skript interpretieren und somit Tür und Tor für Cross-Site-Scripting-Angriffe (XSS) öffnen.
    • Zum Beispiel könnte eine Datei, die als reiner Text verarbeitet werden sollte, als JavaScript interpretiert werden, wodurch ein Angreifer schädlichen Code im Browser des Benutzers ausführen kann.
  • Durch das Deaktivieren von MIME-Type-Sniffing schützen Sie die Besucher vor der unbefugten Ausführung schädlicher Skripte und stärken gleichzeitig die allgemeine Sicherheit Ihrer Website, indem Sie potenzielle Angriffspunkte reduzieren.

 

MIME-Type-Sniffing deaktivieren

Um Benutzer und Webanwendungen vor dieser Art von Schwachstellen zu schützen, können Sie die automatische Erkennung des Ressourcentyps über die Datei .htaccess Ihrer Websites deaktivieren, um dem Browser mitzuteilen, sich strikt auf den vom Server angegebenen MIME-Typ zu verlassen, ohne zu versuchen, ihn zu erraten.

Durch das Einfügen des folgenden Codes in Ihre Datei .htaccess stellen Sie sicher, dass MIME-Type-Sniffing deaktiviert ist, sofern das Modul mod_headers (das das Hinzufügen des folgenden Headers ermöglicht) auf Ihrem Apache-Server aktiviert ist:

  1. Öffnen Sie die Datei .htaccess der betreffenden Website über ein FTP-Programm/FTP-Client oder den Web FTP.

  2. Fügen Sie den folgenden Code hinzu:

    <IfModule mod_headers.c>
    Header always set X-Content-Type-Options "nosniff"
</IfModule>
  3. Speichern Sie die Datei .htaccess.

Link zu dieser FAQ:

https://faq.infomaniak.com/2198

War diese FAQ nützlich?