Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

レスポンスヘッダ X-Content-Type-Options が出力されていない。 #48

Closed
scubism-tech-share opened this issue Mar 27, 2015 · 3 comments
Closed

レスポンスヘッダ X-Content-Type-Options が出力されていない。 #48

scubism-tech-share opened this issue Mar 27, 2015 · 3 comments
Labels
bug:Middle
Milestone
2.17.0

Comments

@scubism-tech-share
Copy link
Contributor

概要

X-Content-Type-Options:nosniffが出力されておらず、
クロスサイトスクリプティング等の攻撃被害につながる危険性がある。

対応

レスポンスヘッダ X-Content-Type-Options:nosniff を出力する。
@Yangsin Yangsin added the bug label Sep 22, 2015
@ryo-endo ryo-endo added this to the 2.17.0 milestone Oct 26, 2017
@so-amuamu
Copy link

対応しましょう
ただし、「PDF生成→画面表示」などで影響が無いか、各ブラウザで念のため確認した方が良いですね
(これに対応すると、正しくContent-Typeを吐いてない場合に影響が出ます。)

@so-amuamu so-amuamu added bug:Middle and removed bug labels Jul 31, 2018
kiy0taka added a commit that referenced this issue Aug 2, 2018
@kiy0taka
Merge pull request #206 from nobuhiko/fix#48
c320e04 
fix #48 #49 ヘッダーの追加
@so-amuamu
Copy link

htaccessでは対応不十分と思われるのでreopenします
動作環境に依存しないよう、PHPからヘッダ出力するようにしないと駄目かなと

@so-amuamu so-amuamu reopened this Aug 2, 2018
@so-amuamu so-amuamu mentioned this issue Aug 2, 2018
Closed
nanasess added a commit to nanasess/ec-cube2 that referenced this issue May 31, 2019
@nanasess
セキュリティ関連のヘッダ出力を PHP から送信するよう修正
9a2b7bd 
- see also
  - EC-CUBE#48
  - EC-CUBE#49
  - EC-CUBE#206
- X-Frame-Options DENY の影響で phpinfo が表示されなかったのを修正
@nanasess nanasess mentioned this issue May 31, 2019
Merged
@nanasess
Copy link
Contributor

#275 で修正済み

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
bug:Middle
Projects
None yet
Milestone
2.17.0
Development

No branches or pull requests
5 participants
@nanasess @Yangsin @so-amuamu @scubism-tech-share @ryo-endo