MIME 형식 보안 위험 감소

scriptstyleSheet 요소는 서버가 "X-Content-Type-Options: nosniff" 응답 헤더를 보내는 경우 잘못된 MIME 형식이 포함된 응답을 거부합니다. 이는 MIME 형식 혼동을 기반으로 하는 공격을 차단하기 위한 보안 기능입니다.

이러한 변경 사항은 서버가 응답에서 "X-Content-Type-Options: nosniff" 헤더를 전송할 때 브라우저의 동작에 영향을 줍니다.

styleSheet 참조가 수신한 응답에 "nosniff" 지시문이 포함된 경우, Windows Internet Explorer는 MIME 형식이 "text/css"와 일치할 때까지 "stylesheet" 파일을 로드하지 않습니다.

script 참조로 검색한 응답에 "nosniff" 지시문이 포함된 경우, Internet Explorer는 MIME 형식이 다음 값 중 하나와 일치할 때까지 "script" 파일을 로드하지 않습니다.

  • "application/ecmascript"
  • "application/javascript"
  • "application/x-javascript"
  • "text/ecmascript"
  • "text/javascript"
  • "text/jscript"
  • "text/x-javascript"
  • "text/vbs"
  • "text/vbscript"

그러한 콘텐츠가 차단되면 F12 개발자 도구에 다음 메시지가 표시됩니다.

SEC7112: Script from http://www.debugtheweb.com/test/mime/textplainnosniff.asp was blocked due to mime type mismatch script.asp

"nosniff" 지시문과 함께 수신한 응답에 위에 나열된 값 중 하나와 일치하는 MIME 형식이 있는지 확인합니다.

부적절한 MIME 형식을 전송하여 Internet Explorer에서 올바르게 작동하지 않는 사이트를 발견하면 Connect에 버그를 신고해 주세요.

관련 항목

 

 

표시:
© 2014 Microsoft