Diese Anleitung erklärt, wie Sie Ihre Website und deren Besucher vor der missbräuchlichen Nutzung des MIME-Type Sniffing schützen.

Vorwort

• Das MIME-Type Sniffing, oder MIME-Typ-Erkennung, ist eine Technik, die von Web-Browsern verwendet wird, um den Inhaltstyp einer Ressource zu bestimmen, wenn der vom Server bereitgestellte MIME-Typ unklar, fehlt oder falsch ist.
• Obwohl dies manchmal die Benutzererfahrung verbessern kann, indem der Inhalt trotz Serverkonfigurationsfehlern zugänglich gemacht wird, führt diese Funktion auch zu erheblichen Sicherheitslücken:
  • Wenn ein Browser MIME-Type Sniffing durchführt, kann er eine Textdatei als ausführbares Skript interpretieren und somit die Tür für Cross-Site-Scripting (XSS)-Angriffe öffnen; z. B. könnte eine Datei, die als reiner Text verarbeitet werden soll, als JavaScript interpretiert werden, wodurch ein Angreifer schadhaften Code im Browser des Benutzers ausführen kann.
• Durch das Deaktivieren des MIME-Type Sniffing schützen Sie die Besucher vor der unberechtigten Ausführung bösartiger Skripte und stärken gleichzeitig die allgemeine Sicherheit Ihrer Website, indem Sie potenzielle Angriffspunkte reduzieren.

MIME-Type Sniffing deaktivieren

Um Benutzer und Webanwendungen vor dieser Art von Schwachstellen zu schützen, können Sie die automatische Erkennung des Ressourcentyps über die Datei .htaccess Ihrer Websites deaktivieren, um den Browser anzuweisen, sich strikt auf den vom Server angegebenen MIME-Typ zu verlassen, ohne ihn zu erraten.

Durch das Einfügen des folgenden Codes in Ihre .htaccess-Datei stellen Sie sicher, dass das MIME-Type Sniffing deaktiviert ist, solange das Modul mod_headers (das es ermöglicht, den folgenden Header hinzuzufügen) auf Ihrem Apache-Server aktiviert ist:

1. Öffnen Sie die .htaccess Datei der betreffenden Website über den FTP Manager oder ein FTP-Programm.

2. Fügen Sie den folgenden Code hinzu:

   <IfModule mod_headers.c>
       Header always set X-Content-Type-Options "nosniff"
   </IfModule>

3. Speichern Sie die Datei .htaccess.