Как/Где я могу добавить «X-Content-Type-Options: nosniff» во всех ответах, которые содержат пользовательский ввод

Question

фон Issue
Там не было "X-Content-Type-Options" HTTP заголовка со значением nosniff установлен в ответ. Отсутствие этого заголовка приводит к тому, что определенные браузеры пытаются определить тип содержимого и кодировку ответа, даже если эти свойства определены правильно. Это может сделать уязвимость веб-приложения против атак типа Cross-Site Scripting (XSS). Например. Internet Explorer и Safari обрабатывает ответы с типом контента text/plain как HTML, если они содержат HTML-теги.

Issue рекультивация
Установите следующий заголовок HTTP, по крайней мере во всех ответов, которые содержат пользовательский вход:
X-Content-Type-Options: nosniff

Как и где я могу добавить это?

Я использую CodeIgniter 3.0.1

Answer 1

Добавьте следующий заголовок в файле index.php используется для установки Окружающей среды применения:

header('X-Content-Type-Options: nosniff'); 

В качестве альтернативы вы можете установить его на сервере Apache (предпочтительно) , Вы можете включить его, изменив настройки Apache или ваш файл .htaccess, и добавить следующую строку к нему:

<IfModule mod_headers.c> 
    Header set X-Content-Type-Options nosniff 
</IfModule> 

Answer 2

Если вы используете Codeigniter 3.0.1

система Go To -> ядро ​​- > Output.php -> __construct()
и добавить
$headerTemp = 'X-Content-Type-Options: nosniff'; $this->headers[] = array($headerTemp, TRUE);