如何检查网站是不是缺少阻止内容类型嗅探的标题
Posted
技术标签:
【中文标题】如何检查网站是不是缺少阻止内容类型嗅探的标题【英文标题】:How to check if website is missing header that prevents content type sniffing如何检查网站是否缺少阻止内容类型嗅探的标题 【发布时间】:2019-11-09 10:16:31 【问题描述】:我想知道如果网站缺少内容类型嗅探标头,我如何检查域名。服务器不是我的,所以我不能在里面创建 php 文件或编辑.htaccess
文件。我知道可以使用 git bash 和 curl
检查 php 版本,但是是否也可以使用 curl
检测到丢失的标头?还是有其他方法? (当然只是合法的)
【问题讨论】:
使用邮递员发送请求并查看此类请求的响应 只要检查响应是否有这个头:X-Content-Type-Options=nosniff
它给了我Content-Type →text/html
的内容类型,但没有X-Content-Type-Options
您可以在浏览器开发工具中打开网络选项卡,转到您要检查的 URL,查看网络选项卡中的响应标头。
"但是没有 X-Content-Type-Options" - 那么这就是你的答案。该网站不会阻止内容嗅探。
【参考方案1】:
当今每个主要的互联网浏览器(Chrome、Fx、MSIE...)都可以让您在其开发人员工具中查看网络传输,包括每个请求和每个响应的标头:
【讨论】:
提供了许多有用的答案,但您提供了浏览器集成的答案,因此它最简单快捷【参考方案2】:您可以在 curl 中使用 -D 选项:
-D, --dump-header <filename> Write the received headers to <filename>
curl http://whatever.com -D myheaders.txt
然后打开 myheaders.com 并查找您想要的标题。
【讨论】:
myheaders.com 或 myheaders.txt以上是关于如何检查网站是不是缺少阻止内容类型嗅探的标题的主要内容,如果未能解决你的问题,请参考以下文章
理解性能的奥秘——应用程序中慢,SSMS中快——不总是参数嗅探的错