Je fais des tests de pénétration sur mon hôte local avec OWASP ZAP, et il continue de signaler ce message:
L'en-tête Anti-MIME-Sniffing X-Content-Type-Options n'était pas défini sur «nosniff»
Cette vérification est spécifique à Internet Explorer 8 et Google Chrome. Assurez-vous que chaque page définit un en-tête Content-Type et les X-CONTENT-TYPE-OPTIONS si l'en-tête Content-Type est inconnu
Je n'ai aucune idée de ce que cela signifie et je n'ai rien trouvé en ligne. J'ai essayé d'ajouter:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
mais je reçois toujours l'alerte.
Quelle est la bonne façon de régler le paramètre?
for servers hosting untrusted content
. Pour les sites Web qui n'affichent pas le contenu des téléchargements des utilisateurs, vous n'avez pas besoin de le définir.