Content-Type 헤더 누락

설명 # Content-Type 헤더는 사용자 에이전트가 수신 중인 데이터를 올바르게 해석하도록 합니다. 이 헤더가 전송되지 않으면 브라우저가 데이터를 잘못 해석하여 MIME 혼동 공격으로 이어질 수 있습니다. 공격자가 브라우저를 사용하여 접근할 수 있는 파일을 업로드할 수 있었다면 HTML로 해석될 수 있는 파일을 업로드하여 크로스 사이트 스크립팅(XSS) 공격을 실행할 수 있습니다. 수정 방법 # 모든 리소스가 형식과 일치하는 적절한 Content-Type 헤더를 반환하도록 합니다. 예를 들어 JavaScript 파일을 반환할 때 응답 헤더는 다음과 같아야 합니다: Content-Type: application/javascript 추가 보호를 위해 모든 리소스는 사용자 에이전트가 리소스를 잘못 해석하지 못하도록 X-Content-Type-Options: nosniff 헤더를 반환해야 합니다. 세부 정보 # ID Aggregated CWE Type Risk 16.1 true 16