Для этой проблемы я использую сервер Apache2 Ubuntu 18.04 с модом PageSpeed. Когда Mod_pagespeed включен, он автоматически добавляет заголовок
X-Content-Type_options: nosniff
для некоторых изображений, js и css. Он будет включать в себя некоторые (но не все) собственные изображения, такие как «myimage.png», а также некоторые изображения, оптимизированные для скорости страниц, например «myimage.pagespeed.3899djs932jd93.png»
Поскольку я хочу, чтобы все файлы имели заголовок nosniff для предотвращения атак на основе MIME, я добавил этот заголовок в свой файл apache2.conf следующим образом:
Набор заголовков X-Content-Type-Options "nosniff"
Однако это приводит к дублированию заголовков nosniff во многих (но не во всех) файлах.
Заголовок nosniff теперь находится в заголовке страниц, например example.com/mypage/
Заголовки появляются дважды, это плохо, поэтому я хочу это исправить, но все файлы все еще покрыты nosniff.
Я попытался применить заголовок nosniff ко всем файлам, кроме следующих, используя отрицательные условия "!" но этот код может быть неправильным и не исправить.
Набор заголовков X-Content-Type-Options "nosniff"
Итак, у меня есть несколько вопросов
Как лучше всего контролировать заголовок nosniff между apache2.conf и модулем pagepeed, чтобы избежать конфликтов и максимально повысить безопасность?
Нужны ли заголовки nosniff на страницах (example.com/mypage/) или только в файлах (example.com/myimage.png)?
Как применить заголовок только к страницам, а не к определенным типам файлов в apache2.conf?
Как отключить модуль pagepeed для вставки заголовка nosniff в мои файлы?
Было бы лучше закомментировать заголовок из apache2.conf и разрешить только pagepeed вставлять его в любой файл, который он хочет?
Заранее спасибо за помощь,