如何检查网站是不是缺少阻止内容类型嗅探的标题

Posted 2023-02-21

【中文标题】如何检查网站是不是缺少阻止内容类型嗅探的标题

【英文标题】：How to check if website is missing header that prevents content type sniffing如何检查网站是否缺少阻止内容类型嗅探的标题

【发布时间】：2019-11-09 10:16:31

【问题描述】：

我想知道如果网站缺少内容类型嗅探标头，我如何检查域名。服务器不是我的，所以我不能在里面创建 php 文件或编辑.htaccess 文件。我知道可以使用 git bash 和 curl 检查 php 版本，但是是否也可以使用 curl 检测到丢失的标头？还是有其他方法？ （当然只是合法的）

【问题讨论】：

使用邮递员发送请求并查看此类请求的响应

只要检查响应是否有这个头：X-Content-Type-Options=nosniff

它给了我Content-Type →text/html 的内容类型，但没有X-Content-Type-Options

您可以在浏览器开发工具中打开网络选项卡，转到您要检查的 URL，查看网络选项卡中的响应标头。

"但是没有 X-Content-Type-Options" - 那么这就是你的答案。该网站不会阻止内容嗅探。

【参考方案1】：

当今每个主要的互联网浏览器（Chrome、Fx、MSIE...）都可以让您在其开发人员工具中查看网络传输，包括每个请求和每个响应的标头：

【讨论】：

提供了许多有用的答案，但您提供了浏览器集成的答案，因此它最简单快捷

【参考方案2】：

您可以在 curl 中使用 -D 选项：

-D, --dump-header <filename> Write the received headers to <filename>



curl http://whatever.com -D myheaders.txt

然后打开 myheaders.com 并查找您想要的标题。

【讨论】：

myheaders.com 或 myheaders.txt