3.Content Type Options
역사적으로 브라우저들은 컨텐츠 스니핑 방식을 통해 서버로부터 응답받은 컨텐츠(html, css, js, png 등)나 사용자로부터 받은 요청을 추측하려고 하였음
따라서 브라우저는 응답 데이터에 별도의 컨텐츠 타입이 명시되지 않았어도 별도의 추측 로직을 통해서 UX를 향상할 수 있었음
💡
Tip
웹 브라우저가 웹 서버로부터 받은 콘텐츠의 실제 유형을 파악하려고 하는 과정,
이를 통해 브라우저는 파일 확장자나 콘텐츠 유형(예: text/html, image/png 등)이 올바르게 지정되지 않았더라도 적절한 방식으로 콘텐츠를 렌더링할 수 있음
파일이 올바르게 해석될 수 있도록 하기 위해 필요한 과정
만약 어떤 사이트에서 사용자에게 웹 사이트에 유용한 포스트스크립트 문서를 제출하고 볼 수 있도록 허용했다고 할 경우, 악의적인 사용자는 js파일을 통해 포스트스크립트 문서를 제출하여 XSS 공격을 수행시킬 수 있게 됨
따라서 스프링 시큐리티에서는 이러한 문제를 방지하기 위해 HTTP 응답 헤더에 컨텐츠 스니핑 옵션을 사용할 수 없도록 비활성화 해두었음
HTTP Header
X-Content-Type-Options: nosniffLast updated on