%20--%3e%3ccircle%20cx='32'%20cy='32'%20r='30'%20fill='rgba(99,102,241,0.05)'%20stroke='url(%23icon-gradient)'%20stroke-width='1.5'/%3e%3c!--%20Left%20bracket%20%3c%20--%3e%3cpath%20d='M12%2020L4%2032L12%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Central%20E%20--%3e%3cpath%20d='M22%2018H42V24H28V29H40V35H28V40H42V46H22V18Z'%20fill='url(%23icon-accent)'/%3e%3c!--%20Right%20bracket%20%3e%20--%3e%3cpath%20d='M52%2020L60%2032L52%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Decorative%20dots%20--%3e%3ccircle%20cx='32'%20cy='10'%20r='2'%20fill='%23818CF8'%20opacity='0.7'/%3e%3ccircle%20cx='32'%20cy='54'%20r='2'%20fill='%236366F1'%20opacity='0.7'/%3e%3c/svg%3e){kind=small}
Guide des vulnérabilités de sécurité
Comprendre et corriger les vulnérabilités web courantes détectées par VitaPulse
Moyen
X-Content-Type-OptionsEmpêche les navigateurs de deviner (MIME sniffing) le type de contenu d'une réponse, les forçant à respecter le Content-Type déclaré.
Risque
Sans cet en-tête, les navigateurs peuvent interpréter un fichier différemment de ce qui était prévu. Un attaquant peut télécharger un fichier déguisé en image mais contenant du JavaScript. Le navigateur peut détecter le contenu par MIME sniffing et exécuter le script, menant à des attaques XSS. C'est particulièrement dangereux pour les sites autorisant le téléchargement de fichiers.
Solution
Configurez X-Content-Type-Options sur nosniff. Assurez-vous que toutes vos ressources sont servies avec le bon en-tête Content-Type.
Exemple
X-Content-Type-Options: nosniff Commentaires (0)
Connectez-vous pour poster un commentaire.