Habilitar la cabecera X-Content-Type-Options
Puede configurar los valores de cabecera X-Content-Type-Options para ayudarle a bloquear el rastreo de contenido. El valor predeterminado indica que los tipos MIME anunciados en las cabeceras de Content-Type no deben cambiarse y deben seguirse.
About this task
Puede ayudar a proteger su sitio de ataques de rastreo MIME utilizando la cabecera X-Content-Type-Options. Existen problemas de seguridad, ya que algunos tipos MIME representan contenido ejecutable.
Para obtener más información sobre esta cabecera, consulte X-Content-Type-Options en el sitio de documentación de Mozilla.
El valor siguiente se utiliza para la cabecera
X-Content-Type-Options:- nosniff
- Bloquea una solicitud si el destino de la solicitud es del tipo:
- "estilo" y el tipo MIME no es
text/css, o - "script" y el tipo MIME no es un tipo JavaScript MIME
- "estilo" y el tipo MIME no es
Procedure
-
La clase de
HttpSecurityFilterdel servidor de transacción añade una cabeceraX-Content-Type-Optionsa la respuesta basándose en la configuración especificada de base wc-component.xml. Está habilitada de forma predeterminada para los siguientes parámetros REST-Transaction WAR como se muestra a continuación:<_config:configgrouping name="HttpSecuritySettings_Rest-Transaction"> <!-- Set the value to "true" to enable X-Content-Type-Options header with value of "nosniff". Prevents the browser from interpreting files as a different MIME type to what is specified in the Content-Type HTTP header (e.g. treating text/plain as text/css). --> <_config:property name="XContentTypeOptionsHeader" value="true"/> </_config:configgrouping> -
Para personalizar el valor de cabecera
X-Content-Type-Optionso para especificarlo para otros WAR, añada la propiedad correspondiente al archivo de base wc-component.xml ampliado. Para obtener más información sobre cómo crear un archivo de configuración personalizado, consulte Cambio de propiedades en el archivo de configuración de HCL Commerce (wc-component.xml).