在我们不得不接受的安全渗透测试中,经常出现的问题(不幸的是,这是有原因的)是在网络服务器响应中没有提供 X-Content-Type-Options HTTP 头信息或提供的信息不一致。这可能是一个令人恼火的问题,但我们的网站和访问者越安全就越好。
这个标头到底有什么用?其实很简单,Chrome 浏览器和 Internet Explorer 浏览器有一个所谓的 “MIME-嗅探 “功能,默认情况下是启用的,它可以检测网络服务器响应中的内容类型。即使网络服务器弄错了什么,或者网页写得不好,指定了不正确的内容类型,也能用它来更好地显示网页。
例如,网站可能会通过 Content-Type 标头和 text/plain 值发送一个响应,说明包含的内容是文本。浏览器会检测到这实际上是一个 PDF 文件,并正确显示该 PDF 文件。否则,浏览器可能会尝试将其显示为文本,从而导致页面混乱或无法阅读。对于某些浏览器开发人员来说,漂亮的页面比符合标准更好。
听起来还不错吧?那么,你可能在浏览器中使用的任何防止下载、显示或执行某些类型内容的软件都有可能被此功能绕过。我们有很多理由阻止可执行文件、压缩文件、Word 文件等。在 Windows 系统中,只需一张 GIF 图像就能 “拥有 “一台电脑。
我们用来通过阻止这些内容来防范此类威胁的任何软件都只能检查 Content-Type 标头的值,并根据其值采取适当的行动。浏览器做出与预期完全不同的行为是无益的,而且会带来风险。
使用负载平衡器的好处在于,我们只需在一个地方完成这项工作,就能将其部署到所有服务器上。我们不需要依赖开发人员或 Apache 重新配置。在 edgeNEXUS 负载均衡器上,我们只需导入 jetPACK 配置模板,并将 flightPATH 流量规则分配给我们希望保护的虚拟服务。
该规则只在页眉不存在的情况下添加页眉,因此即使我们的网络服务器已经插入页眉或只在特定页面插入页眉,它也能正常工作。该规则应成为标准虚拟服务配置的一部分–无论网站如何,你都不会有任何损失,当然,我们始终建议进行测试。您可以在 edgeNEXUS Github 站点下载 jetPACK。
这是我们开发的众多 flightPATH 规则之一,您可以通过部署这些规则来提高网站和用户的安全性。有关安全相关 HTTP 标头的更多信息,请查看这些文章:
使用负载平衡器的好处在于,我们只需在一个地方完成这项工作,就能将其部署到所有服务器上。我们不需要依赖开发人员或 Apache 重新配置。
