HTTP协议安全头部X-Content-Type-Options引入的问题

本文于2016年4月完成，发布在个人博客网站上。 考虑个人博客因某种原因无法修复，于是在博客园安家，之前发布的文章逐步搬迁过来。
前段时间测试MM反馈了一个问题，在富文本编辑器里上传的图片无法正常呈现。因为Jackie在本机的环境上没有观察类似的现象，而恰好那天测试环境的某个重要配项被改错了，于是Jackie想当然的归类为配置项错误引入的问题。但修改完测试环境的配置项后，测试反馈富文本编辑器内图片无法呈现的现象依然存在。
这下就有点麻烦了，问题是在版本上线的前一天晚上发现的，如果问题不能尽快处理，势必对第二天的版本上线产生影响。虽然逢上线必加班至深夜，但也不能让问题挂在Jackie手里。
时间紧急，问题诡异，Jackie马上放下手头的工作，全力投入分析工作中。
排查过程

• 如前所述，配置项修改正确后，问题现象仍然存在，因此首先排除了配置项配置引入问题的可能。
  
• 请测试MM帮忙复现问题，仔细观察之后，发现使用不同浏览器访问问题页面时可以观察到不同的现象：
  
  
  
  • 使用Chrome访问页面时，富文本编辑器内的图片可以正常呈现。
    
  • 使用IE9、IE11访问页面时，富文本编辑器内的图片无法呈现。从浏览器的呈现效果看，貌似是图片加载失败；但在调试器的网络面板查看页面资源的加载情况，可以观察到浏览器发起了图片的获取请求，而Web应用确实返回了图片信息；但就是没有呈现出来。
    
  • 直接把富文本编辑器的内图片的URL复制出来，贴到浏览器的地址栏里访问，图片可以正常呈现。
    
  
  
• 在生产环境和体验环境上做对比验证，使用IE9、IE11访问这两个环境，查看富文本编辑器内的图片，没有观察到前述的问题，因此可以判定测试MM在测试环境上发现的问题是最近引入的，时间范围不超过2个星期，因为那段时间项目组早已切换为两周一迭代的节奏。
  
• 检查富文本编辑器相关代码的提交记录，发现最近的提交记录远在几个月前，因此基本可以排除富文本编辑器自身代码的问题。
  
• 肿么搞呢？似乎进入了死胡同。看来常规的方法都不见效，只能逐一排查代码提交记录了。
  

幸运的是提交记录不多，10分钟之内被Jackie扫描了一遍；大部分提交记录都是清白了，唯一可疑的提交记录来自于Jackie本人，果然这个问题只能由Jackie来定位和分析。为了解决AppScan报告中提到的“HTTP响应缺少安全头部”的警告，Jackie在发现问题的那天早上修改了Tomcat的配置，增加了安全头部相关的过滤器，而晚上留在办公室加班，目的就是要确认前述的警告是否已消除。
为了确认前述问题和HTTP安全头部的相关性，Jackie手工修改测试环境上Tomcat的配置，去掉了增加安全头部的过滤器，重启Tomcat后尝试重现问题，惊喜的发现，富文本编辑器内的图片恢复正常呈现，这说明HTTP响应增加安全头部之后，对基本功能产生了影响。
当前启用了HTTP协议的安全头部的如下几个：

• Strict-Transport-Security
  
• X-Frame-Options
  
• X-Content-Type-Options
  
• X-XSS-Protection
  

范围比较小，逐个排查之后，发现前述问题现象和X-Content-Type-Options相关，因此决定仍然启用HTTP安全头部的输出，但禁用X-Content-Type-Options，富文本编辑器内的图片可以正常呈现，同时不会对安全性造成很大的影响。
本来觉得修改Tomcat的配置和业务不相关，不会有什么问题，也没有过基本功能，结果偏偏天不遂人愿，还真让测试MM发现个诡异问题。看来侥幸心理不能有，该做的工作不能省，否则就得加班、加倍的补回来。
下面使用最少的样例代码来说明问题是如何发生的。
问题是如何发生的

准备复现环境

jsp页面

1. <%@ page session="false" pageEncoding="UTF-8" contentType="text/html; charset=UTF-8" %>
2. <!DOCTYPE html>
3. <html lang="en">
4.     <head>
5.         <meta charset="UTF-8" />
6.         <title><%=request.getServletContext().getServerInfo() %></title>
7.     </head>
8.         
9.             <img alt="FileDownload" src="https://www.cnblogs.com/<%=request.getContextPath()%>/GetPicture">
10.         
11.     <body>
12.         
13.     </body>
14. </html>

复制代码

GetPicture的实现

如下这段代码的实现存在问题，使用流方式返回数据时，没有显式指定Content-Type。

1. package com.struts2.servlets;
3. import java.io.File;
4. import java.io.FileInputStream;
5. import java.io.IOException;
6. import java.io.InputStream;
7. import java.io.OutputStream;
9. import javax.servlet.ServletException;
10. import javax.servlet.http.HttpServlet;
11. import javax.servlet.http.HttpServletRequest;
12. import javax.servlet.http.HttpServletResponse;
14. import org.apache.commons.io.IOUtils;
16. public class GetPictureServlet extends HttpServlet {
18.         private static final long serialVersionUID = -5935833295545479697L;
19.         @Override
20.         protected void doGet(HttpServletRequest req, HttpServletResponse resp)
21.                         throws ServletException, IOException {                       
22.                 String path = req.getServletContext().getRealPath("");
24.                 byte[] buffer = new byte[4096];
25.                 int count = 0;
26.                 InputStream is = null;
27.                 OutputStream os = null;
29.                 try
30.                 {
31.                         is = new FileInputStream(new File(path, "tomcat.png"));
32.                         os = resp.getOutputStream();
33.                        
34.                         while ((count = is.read(buffer)) > 0) {
35.                                 os.write(buffer, 0, count);
36.                         }
37.                 }
38.                 catch (IOException e)
39.                 {
40.                         e.printStackTrace();
41.                 }
42.                 finally
43.                 {
44.                         IOUtils.closeQuietly(is);
45.                         IOUtils.closeQuietly(os);
46.                 }
47.         }
48. }

复制代码

web.xml

1. <servlet>
2.     <servlet-name>GetPictureServlet</servlet-name>
3.     <servlet-class>com.struts2.servlets.GetPictureServlet</servlet-class>
4. </servlet>
5. <servlet-mapping>
6.     <servlet-name>GetPictureServlet</servlet-name>
7.     <url-pattern>/GetPicture</url-pattern>
8. </servlet-mapping>   

复制代码

使用浏览器观察

重温一些安全相关的HTTP响应头中对X-Content-Type-Options的介绍。

互联网上的资源有各种类型，通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如："text/html"代表html文档，"image/png"是PNG图片，"text/css"是CSS样式文档。然而，有些资源的Content-Type是错的或者未定义。这时，某些浏览器会启用MIME-sniffing来猜测该资源的类型，解析内容并执行。

使用浏览器调试面板来观察HTTP响应的头部，对上文做验证。

• 未启用HttpHeaderSecurityFilter时，HTTP响应的头部如下
  1. Content-Length:5103
  2. Date:Mon, 02 May 2016 05:07:22 GMT
  3. Server:Apache-Coyote/1.1

  复制代码
• 修改$CATALINA_BASE/conf/web.xml，启用HttpHeaderSecurityFilter
  1. <filter>
  2.      <filter-name>httpHeaderSecurity</filter-name>
  3.      <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
  4.      <async-supported>true</async-supported>        
  5. </filter>

  复制代码
  使用浏览器的调试面板观察Tomcat响应浏览器请求时的HTTP头部
  1. Cache-Control:private
  2. Content-Length:5103
  3. Date:Mon, 02 May 2016 05:42:00 GMT
  4. Expires:Thu, 01 Jan 1970 08:00:00 CST
  5. Server:Apache-Coyote/1.1
  6. Strict-Transport-Security:max-age=30;includeSubDomains
  7. X-Content-Type-Options:nosniff
  8. X-Frame-Options:SAMEORIGIN
  9. X-XSS-Protection:1; mode=block

  复制代码
  此时，使用浏览器访问页面时，图片不能正常呈现。
  
• 修改$CATALINA_BASE/conf/web.xml，禁用X-Content-Type-Options特性
  1. <filter>
  2.      <filter-name>httpHeaderSecurity</filter-name>
  3.      <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
  4.      <async-supported>true</async-supported>        
  5. </filter>                blockContentTypeSniffingEnabled         false      

  复制代码
  使用浏览器的调试面板观察Tomcat响应浏览器请求时的HTTP头部
  1. Cache-Control:private
  2. Content-Length:5103
  3. Date:Mon, 02 May 2016 05:50:39 GMT
  4. Expires:Thu, 01 Jan 1970 08:00:00 CST
  5. Server:Apache-Coyote/1.1
  6. Strict-Transport-Security:max-age=30;includeSubDomains
  7. X-Frame-Options:SAMEORIGIN
  8. X-XSS-Protection:1; mode=block

  复制代码
  此时，使用浏览器访问页面时，图片可以正常呈现。
  
• 修改$CATALINA_BASE/conf/web.xml，恢复X-Content-Type-Options特性
  1. <filter>
  2.      <filter-name>httpHeaderSecurity</filter-name>
  3.      <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
  4.      <async-supported>true</async-supported>        
  5. </filter>   

  复制代码
  修改GetPictureServlet类的实现，写入图片流前先设置HTTP响应头部Content-Type，取值为image/png
  1. resp.setHeader("Content-Type", "image/png");

  复制代码
  使用浏览器的调试面板观察Tomcat响应浏览器请求时的HTTP头部
  1. Cache-Control:private
  2. Content-Length:5103
  3. Content-Type:image/png
  4. Date:Thu, 05 May 2016 15:38:12 GMT
  5. Expires:Thu, 01 Jan 1970 08:00:00 CST
  6. Server:Apache-Coyote/1.1
  7. Strict-Transport-Security:max-age=30;includeSubDomains
  8. X-Content-Type-Options:nosniff
  9. X-Frame-Options:SAMEORIGIN
  10. X-XSS-Protection:1; mode=block

  复制代码
  此时，使用浏览器访问页面时，图片可以正常呈现。
  

结论

按照减少 MIME 类型的安全风险的介绍，IE的行为受X-Content-Type-Options的影响，如果Web应用没有返回Content-Type，那么IE9、IE11将拒绝加载相关资源。

如果服务器发送响应头 "X-Content-Type-Options: nosniff"，则 script 和 styleSheet 元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能，有助于防止基于 MIME 类型混淆的攻击。

从前述的测试结果看，的确证实了X-Content-Type-Options对IE9、IE11的影响。
但仍有不明之事，文章减少 MIME 类型的安全风险只提到了script和stylesheet标签，没有提到img标签，不了解为什么X-Content-Type-Options对图片的加载也会产生影响。后来使用Windows 10的Edge做验证，发现Edge也存在相同的问题，只要启用了X-Content-Type-Options，那么图片必定呈现不出来。Jackie猜，这也许是文档太旧了，或者是Jackie没有找到最新的文档。
另外按照Jerry Qu的文章一些安全相关的HTTP响应头的描述，X-Content-Type-Options应该会影响Chrome的行为，但从测试结果看，使用img标签加载图片时，如果Web应用没有返回Content-Type，无论是否启用X-Content-Type-Options，Chrome都可以正常呈现图片，这一点比较奇怪。
参考资料

• 一些安全相关的HTTP响应头
  
• header的安全配置指南
  
• ZT header的安全配置指南
  
• 减少 MIME 类型的安全风险
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！