Les entêtes envoyés par le serveur désactivent la détection automatique du type MIME de chaque ressource.

Règle n° 206 - Les entêtes envoyés par le serveur désactivent la détection automatique du type MIME de chaque ressource.

Ne cherchez pas, le mime n’a rien à voir avec Marcel Marceau, c’est simplement un identifiant permettant d’indiquer le format des données sur Internet. La détection automatique de ce format peut rendre possible l’envoi de contenus dangereux vers le poste des utilisateurs. Dans la mesure où cette détection automatique n’est pas vitale, désactivez-la.

Objectif

Réduire les risques de téléchargement d’un contenu dangereux dissimulé.

Mise en œuvre

Configurer le serveur pour adresser l’en-tête X-Content-Type-Options avec la valeur nosniff.

Contrôle

Vérifier, à l’aide d’un outil d’inspection des en-têtes HTTP, la présence de l’en-tête X-Content-Type-Options avec la valeur nosniff.

Auteur Opquast - Consulter la licence

Précédente Suivante

Découvrez la certification Opquast

Une formation et une certification 100% en ligne
14 heures en ligne en autonomie, disponible 24h/24, 7j/7
guide de 200 pages, des quiz, un glossaire, des examens blancs, des articles des videos
Pour tous les professionnels du Web : marketing, commerciaux, UX, chefs de projet, designers, développeurs, ingénieurs informatiques.
Une approche multidisciplinaire : SEO, accessibilité, sécurité, écoconception… pour tous les professionnels, débutants comme confirmés.

Module de sensibilisation
Inscription gratuite