我正在开发angularjs5中的Web应用程序。安全团队正在测试我们的应用程序并提出了错误。
描述:Anti-MIME-Sniffing标头X-Content-Type-Options是
未设置为&{39; nosniff'。这允许旧版本的Internet Explorer
和Chrome可能会在响应正文上执行MIME嗅探
导致响应主体被解释并显示为内容
声明的内容类型以外的类型。目前(2014年初)和
旧版Firefox将使用声明的内容类型(如果有的话)
是设置),而不是执行MIME嗅探。
URL: http://mywebsite.azurewebsites.net/dist/vendor.js?v=vBjTOpDNRC-nQNYd5TD5g6hxfdfdjc7SPrvBv0o2pPs
方法:Get
参数:X-Content-Type-Options
解决方案:确保
application / web server适当地设置Content-Type标头,和
它将X-Content-Type-Options标题设置为' nosniff'对全部
网页。
如果可能,请确保最终用户使用符合标准的和 完全不执行MIME嗅探的现代Web浏览器 可以指向Web应用程序/ Web服务器以执行 MIME嗅探。
我设置了标题' X-Content-Type-Options':' nosniff'在所有HTTP请求中如下。
protected getRequestHeaders(): { headers: HttpHeaders | { [header: string]: string | string[]; } } {
let headers = new HttpHeaders({
'Authorization': `Bearer ${this.appContextService.userToken}`,
'Content-Type': 'application/json',
'Accept': 'application/json',
'Ocp-Apim-Subscription-Key': ` ${this.appContextService.subscriptionKey}`,
'X-Frame-Options': 'Deny',
'X-XSS-Protection': '1',
'X-Content-Type-Options': 'nosniff',
'cache-control':'max-age=3153600'
});
return { headers: headers };
}
有人可以帮我设置标题X-Content-Type-Options到dist / vendor.css,dist / main-client.jsdist / vendor.js吗?任何帮助,将不胜感激。谢谢。