Заголовок типа содержимого статического файла для списка каталогов удален после добавления заголовка «X-Content-Type-Options» - PullRequest
Новая
       6

Заголовок типа содержимого статического файла для списка каталогов удален после добавления заголовка «X-Content-Type-Options»

0 голосов
/ 02 января 2019

Я использую JBoss EAP 7 , и у меня есть требование добавить заголовок X-Content-Type-Options=nosniff в качестве части защиты сервера.

Заголовок типа содержимого для html, js (/? Js) & css (? Css) для списка каталогов отсутствовал после того, как заголовок добавлен и chrome отфильтровывает файлы, мы используем Undertow список каталогов кстати.

Есть ли способ вернуть заголовок типа содержимого файла обратно, чтобы хром не собирался его фильтровать? 

<subsystem xmlns="urn:jboss:domain:undertow:3.1">  
        <buffer-cache name="default"/>  
        <server name="default-server">  
            <ajp-listener name="ajp" socket-binding="ajp"/>  
            <http-listener name="default" socket-binding="http" redirect-socket="https"/>  
            <host name="default-host" alias="localhost">  
                <location name="/" handler="welcome-content"/>  
                <filter-ref name="x-powered-by-header"/>  
                <filter-ref name="x-xss-protection"/>  
                <filter-ref name="strict-transport-security"/>  
                <filter-ref name="x-Content-type-options"/>  
            </host>  
        </server>  
        <servlet-container name="default" default-encoding="UTF-8" directory-listing="true">  
            <jsp-config/>  
            <websockets/>  
        </servlet-container>  
        <handlers>  
            <file name="welcome-content" directory-listing="true" path="${jboss.home.dir}/welcome-content"/>  
        </handlers>  
        <filters>  
            <response-header name="x-powered-by-header" header-name="X-Powered-By" header-value="Undertow/1"/>  
            <response-header name="x-xss-protection" header-name="X-XSS-Protection" header-value="1; mode=block"/>  
            <response-header name="strict-transport-security" header-name="Strict-Transport-Security" header-value="max-age=31536000; includeSubDomains"/>  
            <response-header name="x-Content-type-options" header-name="X-Content-Type-Options" header-value="nosniff"/>  
        </filters>  
    </subsystem>

Заголовки ответа после добавления X-Content-Type-Options

HTTP/1.1 200 OK
Date: Wed, 02 Jan 2019 05:42:59 GMT
Server: Apache
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000; includeSubDomains
Content-Length: 7109
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
...