OWASP ZAPを使用してローカルホストで侵入テストを行っていますが、次のメッセージが報告され続けます。
Anti-MIME-SniffingヘッダーX-Content-Type-Optionsが「nosniff」に設定されていませんでした
このチェックは、Internet Explorer 8とGoogle Chromeに固有です。Content-Typeヘッダーが不明な場合は、各ページにContent-TypeヘッダーとX-CONTENT-TYPE-OPTIONSが設定されていることを確認してください
これが何を意味するのか私にはわかりませんし、オンラインでも何も見つかりませんでした。追加しようとしました:
<meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" />
しかし、私はまだアラートを受け取ります。
パラメータを設定する正しい方法は何ですか?
for servers hosting untrusted content
。ユーザーがアップロードしたコンテンツを表示しないWebサイトの場合、これを設定する必要はありません。