Deze handleiding legt uit hoe u uw website en de bezoekers ervan kunt beschermen tegen misbruik van de MIME-type sniffing-techniek.

Voorwoord

• MIME-type sniffing, of MIME-type detectie, is een techniek die door webbrowsers wordt gebruikt om het type inhoud van een bron te bepalen, wanneer het door de server geleverde MIME-type dubbelzinnig, ontbreekt of onjuist is.
• Hoewel dit soms de gebruikerservaring kan verbeteren door de inhoud toegankelijk te maken, ondanks configuratiefouten op de server, introduceert deze functie ook aanzienlijke beveiligingsrisico's:
  • Als een browser MIME-type sniffing uitvoert, kan deze een tekstbestand interpreteren als een uitvoerbaar script, waardoor de deur wordt geopend voor cross-site scripting-aanvallen (XSS).
  • Een bestand dat bijvoorbeeld als platte tekst zou moeten worden verwerkt, kan als JavaScript worden geïnterpreteerd, waardoor een aanvaller kwaadaardige code in de browser van de gebruiker kan uitvoeren.
• Door MIME-type sniffing uit te schakelen, beschermt u bezoekers tegen de onbevoegde uitvoering van kwaadaardige scripts en verbetert u tegelijkertijd de algemene beveiliging van uw website door potentiële aanvalspunten te verminderen.

MIME-type sniffing uitschakelen

Om gebruikers en webapplicaties te beschermen tegen dit soort kwetsbaarheden, kunt u de automatische detectie van het bronbestandstype uitschakelen via het bestand .htaccess van uw website, zodat de browser zich strikt houdt aan het door de server opgegeven MIME-type, zonder te proberen dit te raden.

Door de volgende code in uw .htaccess-bestand te plaatsen, zorgt u ervoor dat MIME-type sniffing is uitgeschakeld, zolang de module mod_headers (die het toevoegen van de volgende header mogelijk maakt) is ingeschakeld op uw Apache-server:

1. Open het bestand ` .htaccess` van de betreffende website via de FTP-manager of een FTP-client.

2. Voeg de volgende code toe:

   <IfModule mod_headers.c>
       Header always set X-Content-Type-Options "nosniff"
   </IfModule>

3. Sla het bestand ` .htaccess` op.