{"id":4978,"date":"2023-03-17T16:09:41","date_gmt":"2023-03-17T15:09:41","guid":{"rendered":"https:\/\/ekiwi.de\/?p=4978"},"modified":"2023-03-17T16:09:42","modified_gmt":"2023-03-17T15:09:42","slug":"die-resource-wurde-blockiert-wegen-eine-mime-typ-konfliktes-nosniff","status":"publish","type":"post","link":"https:\/\/ekiwi.de\/index.php\/4978\/die-resource-wurde-blockiert-wegen-eine-mime-typ-konfliktes-nosniff\/","title":{"rendered":"Die Resource wurde blockiert wegen eine MIME-Typ-Konfliktes (nosniff)"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Inhalt<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/ekiwi.de\/index.php\/4978\/die-resource-wurde-blockiert-wegen-eine-mime-typ-konfliktes-nosniff\/#Was_ist_der_%E2%80%9Enosniff%E2%80%9C_Header\" >Was ist der &#8222;nosniff&#8220; Header<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/ekiwi.de\/index.php\/4978\/die-resource-wurde-blockiert-wegen-eine-mime-typ-konfliktes-nosniff\/#Problemloesung\" >Probleml\u00f6sung<\/a><\/li><\/ul><\/nav><\/div>\n<p>Fehler beim Zugriff auf ein Script, welches durch PHP generiert wird.<\/p>\n<p><!--more--><\/p>\n<p>F\u00fcr einen Kunden habe ich versucht, ein Script auf einen neuen Server umzuziehen. Dabei handelt es sich um das &#8222;<a href=\"https:\/\/www.phpjabbers.com\/member-login-script\/\" target=\"_blank\" rel=\"noopener\">Member Login Script<\/a>&#8220; von PHPJabbers. Der Fehler ist aber unabh\u00e4ngig vom Script und tritt auf, wenn der Server einen anderen Mime-Typ als Dokument zur\u00fcckliefert, als erwartet. Im konkreten Fall kam in der Fehlerkonsole des Browsers folgender Fehler:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2023\/03\/mime_1.png\" alt=\"\" width=\"710\" height=\"66\" class=\"alignnone size-full wp-image-4979\" srcset=\"\/wp-content\/uploads\/2023\/03\/mime_1.png 710w, \/wp-content\/uploads\/2023\/03\/mime_1-300x28.png 300w\" sizes=\"auto, (max-width: 710px) 100vw, 710px\" \/><\/p>\n<pre>\r\nDie Ressource von \"\/user\/members\/index.php\/user\/members\/index.php?controller=pjFront&action=pjActionLogin\" \r\nwurde wegen eines MIME-Typ-Konfliktes (\"text\/html\") blockiert (X-Content-Type-Options: nosniff).\r\n<\/pre>\n<p>Die Resource bzw. Die PHP spuckt ein Java-Script aus und wird mit einem <code>&lt;script&gt;<\/code> Tag eingebunden. Hier wird der Typ &#8222;text\/javascript&#8220; erwartet, der HTTP-Header gibt aber vor, dass hier &#8222;text\/html&#8220; vom Script ausgeliefert wird.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Was_ist_der_%E2%80%9Enosniff%E2%80%9C_Header\"><\/span>Was ist der &#8222;nosniff&#8220; Header<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Kurz zur Definition:<\/p>\n<p>Der &#8222;X-Content-Type-Options: nosniff&#8220;-Header ist ein HTTP-Header, der von Webservern gesendet wird, um den Browser anzuweisen, den MIME-Typ eines Dokuments nicht zu erraten und stattdessen den MIME-Typ zu verwenden, der vom Server bereitgestellt wird. Das bedeutet, dass der Browser das Dokument nicht als einen anderen Typ interpretiert als vom Server beabsichtigt.<\/p>\n<p>Dies ist wichtig, um Sicherheitsprobleme zu vermeiden, die durch den sogenannten &#8222;MIME-Sniffing&#8220; verursacht werden k\u00f6nnen. MIME-Sniffing ist ein Verhalten von Browsern, bei dem sie versuchen, den MIME-Typ eines Dokuments zu erraten, wenn er nicht explizit vom Server angegeben wurde. Dies kann zu Sicherheitsproblemen f\u00fchren, da ein Angreifer ein Dokument mit einem MIME-Typ versehen kann, der vom Browser als sicherer angesehen wird als der tats\u00e4chliche MIME-Typ des Dokuments.<\/p>\n<p>Durch das Senden des &#8222;X-Content-Type-Options: nosniff&#8220;-Headers kann ein Webserver verhindern, dass Browser Dokumente mit einem falschen MIME-Typ interpretieren und somit Sicherheitsprobleme vermeiden.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Problemloesung\"><\/span>Probleml\u00f6sung<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Hintergrund ist also eine Serverkonfiguration. Diese kann nun entweder ver\u00e4ndert werden, z.B. \u00fcber HtAccess:<\/p>\n<pre>&lt;IfModule mod_headers.c&gt;\r\n    Header always set X-Content-Type-Options &quot;nosniff&quot;\r\n&lt;\/IfModule&gt;<\/pre>\n<p>Dies brauchte bei mir allerdings keinen Erfolg. Entweder war das entsprechende Modul nicht installiert oder .htaccess Dateien waren schlicht deaktiviert. <\/p>\n<p>In meinem Fall habe ich mir so beholfen, dass ich ein Proxy-Script geschrieben:<\/p>\n<pre>&lt;?php\r\nheader(&quot;Content-Type: text\/javascript&quot;);\r\n$content = file_get_contents(&quot;\/user\/members\/index.php?controller=pjFront&amp;action=pjActionLogin&quot;);\r\necho $content;\r\n<\/pre>\n<p>Dieses setzt zuerst den richtigen Header, anschlie\u00dfend wird das Script eingelesen und einfach ausgegeben. Anschlie\u00dfend funktionierte das Script und der Login erschien.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-content\/uploads\/2023\/03\/mime_2.png\" alt=\"\" width=\"528\" height=\"266\" class=\"alignnone size-full wp-image-4981\" srcset=\"\/wp-content\/uploads\/2023\/03\/mime_2.png 528w, \/wp-content\/uploads\/2023\/03\/mime_2-300x151.png 300w\" sizes=\"auto, (max-width: 528px) 100vw, 528px\" \/><\/p>","protected":false},"excerpt":{"rendered":"<p>Fehler beim Zugriff auf ein Script, welches durch PHP generiert wird.<\/p>\n","protected":false},"author":1,"featured_media":64,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_links_to":"","_links_to_target":""},"categories":[15,14,13],"tags":[],"class_list":["post-4978","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-javascript","category-php","category-programmierung"],"_links":{"self":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts\/4978","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/comments?post=4978"}],"version-history":[{"count":0,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/posts\/4978\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/media\/64"}],"wp:attachment":[{"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/media?parent=4978"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/categories?post=4978"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ekiwi.de\/index.php\/wp-json\/wp\/v2\/tags?post=4978"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}