Picto thématique

Règle n° 201 - Les en-têtes envoyés par le serveur désactivent la détection automatique du type MIME de chaque ressource.

Ne cherchez pas, le mime n’a rien à voir avec Marcel Marceau, c’est simplement un identifiant permettant d’indiquer le format des données sur Internet. La détection automatique de ce format peut rendre possible l’envoi de contenus dangereux vers le poste des utilisateurs. Dans la mesure où cette détection automatique n’est pas vitale, désactivez-la.

#Sécurité #Développement

Objectif

  • Réduire les risques de téléchargement d’un contenu dangereux dissimulé.

Mise en œuvre

Configurer le serveur pour adresser l’en-tête X-Content-Type-Options avec la valeur nosniff.

Contrôle

Vérifier, à l’aide d’un outil d’inspection des en-têtes HTTP, la présence de l’en-tête X-Content-Type-Options avec la valeur nosniff.

Auteur Opquast - Consulter la licence


Découvrez la certification Opquast

  • Une formation et une certification 100% en ligne, reconnues officiellement
  • 14 heures en ligne en autonomie, disponible 24h/24, 7j/7
  • guide de 200 pages, des quiz, un glossaire, des examens blancs, des articles des videos
  • Pour tous les professionnels du Web : marketing, commerciaux, UX, chefs de projet, designers, développeurs, ingénieurs informatiques.
  • Une approche multidisciplinaire : SEO, accessibilité, sécurité, écoconception… pour tous les professionnels, débutants comme confirmés.