概要
| 脆弱性名(Ja) | 「X-Content-Type-Options」ヘッダーがありません |
| 脆弱性名(En) | Missing ‘Cache-Control’ Header |
| ID | 112529 |
| 危険度 | Low |
| ファミリー | HTTP Security Header |
説明
「X-Content-Type-Options」ヘッダーは、ブラウザが宣言されたコンテンツタイプを無視してMIMEスニッフィングを行うのを防ぐHTTPレスポンスヘッダーです。
このヘッダーが設定されていないと、ブラウザがコンテンツタイプを誤認識するリスクがあり、セキュリティ上の脅威となります。
MIMEスニッフィングとは
ブラウザがサーバーから受け取ったファイルの内容を自動的に調べ、そのファイルのMIMEタイプ(例:HTML、画像、動画など)を推測する機能です。
リスク
このヘッダーがないと、ブラウザが意図しないコンテンツタイプを認識する可能性があり、クロスサイトスクリプティング(XSS)攻撃などの脆弱性が発生します。特に、ユーザーがダウンロードしたファイルが意図せず実行可能ファイルとして扱われる場合があり、マルウェアの感染リスクが高まります。
検出トリガー
- HTTPレスポンスに「X-Content-Type-Options」ヘッダーが含まれていない
対策
Apacheの設定
Apacheサーバーでは、次の行を「.htaccess」またはサーバーのメイン設定ファイルに追加し、「X-Content-Type-Options」ヘッダーを有効にします。
MIMEスニッフィングが無効化され、ブラウザが指定されたMIMEタイプを厳格に遵守するようになります。
Header set X-Content-Type-Options "nosniff"Nginxの設定
Nginxでは、nginx.confファイルに以下の設定を追加します:
add_header X-Content-Type-Options "nosniff";関連リンク
危険度が脆弱性ツールによって異なる場合があります。