X-Content-Type-Options-Header

Was ist MIME-Type Sniffing?

MIME-Type Sniffing bezeichnet den Vorgang, bei dem ein Webbrowser den tatsächlichen Inhaltstyp eines heruntergeladenen Dokuments untersucht und zu bestimmen versucht. Dies kann geschehen, wenn der Server Ressourcen mit einem unklaren oder falschen Content-Type HTTP-Header sendet.

Browser analysieren die Bytes des Inhalts, um herauszufinden, um welchen Dateityp es sich handelt – ob HTML, CSS, JavaScript oder ein anderes Medientyp wie Bild, Audio, Video usw. Diese Fähigkeit soll hilfreich sein und sicherstellen, dass der Inhalt korrekt verarbeitet wird, auch wenn der Server ihn nicht richtig kennzeichnet. Allerdings kann dies potenziell Sicherheitslücken aufdecken.

Das Risiko beim MIME-Type Sniffing entsteht, wenn ein Angreifer dieses Verhalten manipuliert, um schädlichen Code im Browser eines Benutzers auszuführen. Zum Beispiel könnte eine hochgeladene Datei mit einer irreführenden Erweiterung oder einem falschen MIME-Typ als Skript interpretiert und ausgeführt werden, anstatt als reiner Text angezeigt zu werden.

Diese Schwachstelle bietet eine Möglichkeit für XSS-Angriffe (Cross-Site Scripting), bei denen schädliche Skripte in der Sitzung eines Benutzers ausgeführt werden. Um sich gegen diese Bedrohungen zu schützen, verwenden Webentwickler den XCTO-HTTP-Header mit dem Wert ’nosniff‘. Dieser weist moderne Browser an, das MIME-Type Sniffing zu deaktivieren und sich strikt an den vom Server angegebenen Inhaltstyp zu halten.

MIME Sniffing mit X-Content-Type-Options verhindern

Webentwickler, die sich mittels Content Security Policy vor Cross-Site-Scripting-Angriffen schützen wollen, sollten auf jeden Fall den X-Content-Type-Options-Header verwenden. Nur dann ist der Schutz, den CSP bietet, wirklich vollständig.

Wenn beispielsweise eine Bilddatei HTML-Tags in ihren Kommentaren enthält und mit einem Content-Typ serviert wurde, der nicht für das Servieren von Bildern verwendet wird, wird der Browser versuchen zu erraten, wie der Inhalt gerendert werden soll.

Sobald er die HTML-Elemente sieht, wird er als HTML gerendert, was aktiven Inhalt wie Skripte, Flash usw. enthalten kann und aus einer harmlosen Bilddatei eine potenzielle Bedrohung machen kann. Dieser Header bewirkt, dass der Browser den Inhalt lädt und anzeigt, wenn der Content-Type der erwartete ist.

Schützen Sie Ihre Webseite vor MIME-Sniffing-Attacken

Hackern gelingt es manchmal, schädlichen Code durch hochgeladene Dateien, wie Bilder, auf Websites zu schmuggeln. Ihr Browser könnte diesen Code unbemerkt ausführen und damit Ihr System gefährden. Um solchen Risiken vorzubeugen, empfiehlt es sich, für das Hochladen von Nutzerinhalten wie Bildern oder Videos eine separate Subdomain zu verwenden.

Diese Sicherheitsmaßnahme sorgt dafür, dass schädliche Dateien nicht direkt mit der Hauptwebsite interagieren können und somit das Risiko einer Infektion minimiert wird.