Content-Type 헤더 누락

Content-Type 헤더 누락 시 MIME 혼동 공격 및 XSS 공격 위험성과 올바른 Content-Type 헤더 설정 방법을 설명합니다.

설명 # Content-Type 헤더는 사용자 에이전트가 수신하는 데이터를 올바르게 해석할 수 있도록 보장합니다. 이 헤더가 전송되지 않으면 브라우저가 데이터를 잘못 해석하여 MIME 혼동 공격으로 이어질 수 있습니다. 공격자가 브라우저를 통해 접근 가능한 파일을 업로드할 수 있다면, HTML로 해석될 수 있는 파일을 업로드하여 크로스 사이트 스크립팅(XSS) 공격을 실행할 수 있습니다. 해결 방법 # 모든 리소스가 해당 형식과 일치하는 적절한 Content-Type 헤더를 반환하도록 하세요. 예를 들어, JavaScript 파일을 반환할 때 응답 헤더는 다음과 같아야 합니다: Content-Type: application/javascript 추가적인 보호를 위해, 모든 리소스가 X-Content-Type-Options: nosniff 헤더를 반환하여 사용자 에이전트가 리소스를 잘못 해석하지 않도록 하는 것을 권장합니다. 세부 정보 # ID 집계됨 CWE 유형 위험도 16.1 tru