Mise en œuvre de l’en-tête X-Content-Type-Options dans Apache, Nginx, IBM HTTP Server et l’hébergement partagé

Chaque ressource servie par un serveur web est associée à un type MIME (également appelé type de contenu).

Il est possible d’exécuter une feuille de style et de voler le contenu d’un autre site si le type de contenu ne correspond pas. Vous pouvez éviter cette vulnérabilité dans Internet Explorer ou Google Chrome en ajoutant nosniff dans l’en-tête.

Dans ce guide rapide, je vais vous expliquer comment ajouter l’en-tête X-Content-Type-Options dans Apache HTTP, Nginx, IHS & Shared hosting pour réduire le risque d’attaque des types MIME.

Quelques éléments

  • Prenez une sauvegarde d’un fichier de configuration existant pour le restaurer en cas de problème.
  • Pour vérifier la réponse de l’en-tête, vous pouvez utiliser l’outil en ligne HTTP Header Checker.
  • Si vous utilisez une protection de sécurité basée sur le cloud comme SUCURI, vous n’avez pas à vous inquiéter, car elle est déjà activée par défaut.

Apache et IBM HTTP Server

  • Modifiez le fichier httpd.conf et assurez-vous que mod_headers.so est activé. La ligne suivante doit être décommentée.
LoadModule headers_module modules/mod_headers.so
  • Ajoutez le paramètre suivant
Jeu d'en-tête X-Content-Type-Options nosniff
  • Enregistrez le fichier de configuration et redémarrez Apache pour qu’il prenne effet.

Voici à quoi ressemble la réponse de l’en-tête.

x-content-type-results

Serveur web Nginx

  • Ajoutez le paramètre suivant dans nginx.conf sous le bloc serveur
add_header X-Content-Type-Options nosniff ;
  • Enregistrez le fichier nginx.conf et redémarrez Nginx pour voir les résultats.

Mise en œuvre dans un hébergement partagé

Si vous utilisez un hébergement mutualisé comme SiteGround ou tout autre hébergeur qui propose un fichier .htaccess.

  • Connectez-vous à votre cPanel et allez dans le Gestionnaire de fichiers
  • Modifiez le fichier .htaccess et ajoutez ce qui suit
En-tête X-Content-Type-Options nosniff
  • Sauvegardez le fichier et rafraîchissez la page pour voir les résultats.

J’espère que cela ajoutera une couche de sécurité à votre site.