生产环境浏览器Strict MIME TYPE Checking问题解决

Posted 皖南笑笑生

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了生产环境浏览器Strict MIME TYPE Checking问题解决相关的知识,希望对你有一定的参考价值。

问题背景

最近在生产环境遇到了一个棘手的问题,很多促销页面的商品价格无法加载,且只有部分用户投诉和反馈,测试环境和内网环境均无法复现这个现象。

原因定位

发现报错的原因如下,动态加载js文件时返回Content-Type为text/html,与文件类型.js不匹配,禁止加载。

Refused to execute script from ‘XXXX’ because its MIME type (‘text/html’) is not executable, and strict MIME type checking is enabled.

由于开发没有注意过,我们所有json的请求的类型都是默认的text/html。但一直都是这样使用的,为什么最近才出现被禁止加载的情况呢?进一步分析请求的响应头,发现最近安全部门在响应头中增加了X-Content-Type-Options:nosniff字段。

互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:”text/html”代表html文档,”image/png”是PNG图片,”text/css”是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。
例如,我们即使给一个html文档指定Content-Type为”text/plain”,在IE8-中这个文档依然会被当做html来解析。利用浏览器的这个特性,攻击者甚至可以让原本应该解析为图片的请求被解析为javascript。通过下面这个响应头可以禁用浏览器的类型猜测行为:

X-Content-Type-Options: nosniff

现在原因可以解释了:安全头部X-Content-Type-Options: nosniff遇到了格式不正确的Content-Type格式,造成了请求的阻塞。

那如何解释内网和测试环境无法复现,不是所有用户都有,但价格一旦加载不出来就一直出不来的现象呢?

  • 首先,安全部门在内网和测试环境没有加X-Content-Type-Options: nosniff;
  • 其次,就算在外网环境也不是每次都加,当用户第一次请求时,会给用户Set一个Cookie并加上这个头部,下次用户再请求,如果有这个Cookie就不会加这个头部
  • 最后,价格服务请求是很多个的,每个栏目会加载多个价格请求,一旦一个有问题,后面的请求会被阻塞,不会被种上Cookie,用户再刷新,后面的种Cookie,又因为X-Content-Type-Options: nosniff,价格还是出不来。

所以任何诡异问题的发生都是无数人为操作并行的结果,一方面,系统负责人没有注意规范自己的请求格式,另一方面,安全部门加X-Content-Type-Options: nosniff没有认真分析其可能对生产上造成的影响。

解决方案

涉及的系统比较多,不可能让所有系统马上发布新的版本,同时,安全部门改代码也需要时间,但生产环境中,用户的体验必须保证,因此,解决方案如下:

  • 应急解决方案:CDN将安全部门加的X-Content-Type-Options头部去掉;

  • 进一步解决方案:安全部门先将X-Content-Type-Options下线,或者配置开关。

  • 最终解决方案:所有涉及系统标准化Content-type格式。参考
    http://tool.oschina.net/commons

以上是关于生产环境浏览器Strict MIME TYPE Checking问题解决的主要内容,如果未能解决你的问题,请参考以下文章

Type cvc-complex-type.2.4.c: The matching wildcard is strict...

什么是 MIME TYPE

什么是 MIME TYPE?(转)

MIME Type介绍 Content-Type 各种定义

Content-Type与MIME

Multiple annotations found at this line: – cvc-complex-type.2.4.c: The matching wildcard is strict,