`X-Download-Options: noopen` 有什么作用?

问题描述 投票:0回答:1

我正在查看 Helmet.js 的默认设置,并遇到了 

X-Download-Options
目前,我找到了这些:

  • 仅适用于IE8
  • 在 IE8 中,如果您不给此标头提供 
    noopen
    ,任何下载的 HTML 文件的 js 都将在当前站点的上下文中运行
  • 关于
    X-Download-Options
    的另一个问题说它删除了打开按钮并用保存按钮更改了它

低于必须通过 

X-Download-Options

防止的可能攻击

站点 foo.com 允许一个用户存储文件,另一用户下载文件

  • 坏人:存储一个 HTML 文件,该文件通过 js 向他发送用户的 cookie 
    localStorage
  • 用户:下载这个文件,它立即打开并运行js,一切都消失了
http security internet-explorer https http-headers
1个回答
0
投票

一年后,我偶然发现了同样的问题,但找到了答案。

https://www.invicti.com/white-papers/whitepaper-http-security-headers/#XDownloadOptionsHTTPHeader

TLDR:下载的 html 文件将在站点上下文中执行,因此攻击者可以访问 cookie 等。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.