如何检查网站是不是缺少阻止内容类型嗅探的标题

Posted

技术标签:

【中文标题】如何检查网站是不是缺少阻止内容类型嗅探的标题【英文标题】:How to check if website is missing header that prevents content type sniffing如何检查网站是否缺少阻止内容类型嗅探的标题 【发布时间】:2019-11-09 10:16:31 【问题描述】:

我想知道如果网站缺少内容类型嗅探标头,我如何检查域名。服务器不是我的,所以我不能在里面创建 php 文件或编辑.htaccess 文件。我知道可以使用 git bash 和 curl 检查 php 版本,但是是否也可以使用 curl 检测到丢失的标头?还是有其他方法? (当然只是合法的)

【问题讨论】:

使用邮递员发送请求并查看此类请求的响应 只要检查响应是否有这个头:X-Content-Type-Options=nosniff 它给了我Content-Type →text/html 的内容类型,但没有X-Content-Type-Options 您可以在浏览器开发工具中打开网络选项卡,转到您要检查的 URL,查看网络选项卡中的响应标头。 "但是没有 X-Content-Type-Options" - 那么这就是你的答案。该网站不会阻止内容嗅探。 【参考方案1】:

当今每个主要的互联网浏览器(Chrome、Fx、MSIE...)都可以让您在其开发人员工具中查看网络传输,包括每个请求和每个响应的标头:

【讨论】:

提供了许多有用的答案,但您提供了浏览器集成的答案,因此它最简单快捷【参考方案2】:

您可以在 curl 中使用 -D 选项:

-D, --dump-header <filename> Write the received headers to <filename>



curl http://whatever.com -D myheaders.txt

然后打开 myheaders.com 并查找您想要的标题。

【讨论】:

myheaders.com 或 myheaders.txt

以上是关于如何检查网站是不是缺少阻止内容类型嗅探的标题的主要内容,如果未能解决你的问题,请参考以下文章

理解性能的奥秘——应用程序中慢,SSMS中快——不总是参数嗅探的错

在没有用户代理嗅探的情况下检测移动浏览器[关闭]

在没有用户代理嗅探的情况下检测移动浏览器[关闭]

如何让迅雷是视频嗅探功能在谷歌内核的浏览器上也能像在IE内核浏览器上一样的工作呀?

Buuoj 被嗅探的流量

旁站和C段的简要解释