Sto eseguendo alcuni test di penetrazione sul mio localhost con OWASP ZAP e continua a segnalare questo messaggio:
L'intestazione X-Content-Type-Options di Anti-MIME-Sniffing non è stata impostata su 'nosniff'
Questo controllo è specifico per Internet Explorer 8 e Google Chrome. Assicurarsi che ogni pagina imposta un'intestazione Content-Type e X-CONTENT-TYPE-OPTIONS se l'intestazione Content-Type è sconosciuta
Non ho idea di cosa significhi e non sono riuscito a trovare nulla online. Ho provato ad aggiungere:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
ma ricevo ancora l'avviso.
Qual è il modo corretto di impostare il parametro?
for servers hosting untrusted content
. Per i siti Web che non visualizzano contenuti dai caricamenti degli utenti, non è necessario impostare questo.