PHP：如何为标头配置链接的.css文件：x-content-type

Question

使用OWASP 2.6，我的攻击发出并提示： 'x-content-type-options-header missing'作为警报。 它主要是css文件。

谁能告诉我如何配置作为index.php网页''链接到PHP/HTML文件的CSS文件的头文件响应？

Answer 1

在OWASP ZAP 2.6中，该软件进行渗透测试/扫描。它发现了什么“ ”的缺陷，并将其报告给用户。我的情况是，我的渗透测试没有将我的Firefox浏览器设置为渗透测试模式或“手动代理”，就像它在方向上所做的那样。开关模式，我发现论坛对于初学者来说更加贴心，我欣赏这个，我只是简单地将下面的头文件添加到我的索引和其他应用的网页上，将以下头文件添加到您的索引页面的顶部，

header('Content-Type: text/html'); 
header('X-Content-Type-Options: nosniff', false); 
//stop cacheing of page 
header("Cache-Control: no-store, no-cache, must-revalidate"); // HTTP/1.1 
header("Cache-Control: post-check=0, pre-check=0", false); 
header("Expires: Sat, 26 Jul 1997 05:00:00 GMT"); // Date in the past 
header("Pragma: no-cache"); // HTTP/1.0 
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT"); 
header("X-XSS-Protection: 1"); 
header("X-Frame-Options: SAMEORIGIN"); 

这个处理与各种网站页面2个潜在的安全问题：

Web浏览器X根据有关的安全问题等SS保护不启用

X-Content-Type的，可选报头缺少

它 “可能” 不会的CSS内容的情况下适用。但是，您更了解您的应用/网站。可能存在相关情况或功能。

最终，您可以作为用户在最后拨打电话。这就是为什么发现的严重程度可以修改（包括错误肯定）以及为什么会有警报的过滤器扩展。

的ZAP用户组可以在这里找到研究的ZAP问题：https://groups.google.com/forum/#!forum/zaproxy-users