Reducir los riesgos de seguridad de los tipos MIME

Los elementos script y styleSheet rechazarán respuestas con tipos MIME incorrectos si el servidor envía el encabezado de respuesta "X-Content-Type-Options: nosniff". Se trata de una característica de seguridad que ayuda a impedir los ataques basados en la confusión de los tipos MIME.

Este cambio afecta al comportamiento del explorador cuando el servidor envía el encabezado "X-Content-Type-Options: nosniff" en sus respuestas.

Si la directiva "nosniff" se recibe en una respuesta recibida por una referencia styleSheet, Windows Internet Explorer no cargará el archivo "stylesheet" a menos que el tipo MIME coincida con "text/css".

Si la directiva "nosniff" se recibe en una respuesta recuperada por una referencia script, Internet Explorer no cargará el archivo "script" a menos que el tipo MIME coincida con uno de los siguientes valores:

  • "application/ecmascript"
  • "application/javascript"
  • "application/x-javascript"
  • "text/ecmascript"
  • "text/javascript"
  • "text/jscript"
  • "text/x-javascript"
  • "text/vbs"
  • "text/vbscript"

Cuando dicho contenido está bloqueado, las herramientas de desarrollo F12 muestran el siguiente mensaje:

SEC7112: Script from http://www.debugtheweb.com/test/mime/textplainnosniff.asp was blocked due to mime type mismatch script.asp

Asegúrate de que todas las respuestas recibidas con la directiva "nosniff" tengan un tipo MIME que coincida con uno de los valores enumerados anteriormente.

Si descubres un sitio que envía tipos MIME incorrectos y se comporta de forma incorrecta en Internet Explorer, envía un informe de error en Conectar.

Temas relacionados

 

 

Mostrar:
© 2014 Microsoft