J3.x:Joomla 3.9.3 Säkerhetsnoteringar

Säkerhetsuppdatering av .htaccess och web.config

Sedan Joomla 3.9.3, kommer Joomla med extra säkerhetsförstärkningar i standardfilerna htaccess.txt och web.config.txt. Dessa förstärkningar inaktiverar funktionen som kallas MIME-type sniffing i webbläsare. Denna sniffning ger utrymme för särskilda attacker där skript i normalt harmlösa filformat (ex. bilder) kan köras, vilket leder till Cross-Site-Scripting sårbarheter. The Joomla Security Strike Team recommends to manually apply the necessary changes to existing .htaccess or web.config files, as those files can not be updated automatically.

Changes for .htaccess

Add the following lines before ## Mod_rewrite in use:

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

Changes for web.config

Add the following lines right after </rewrite>:

<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
  </customHeaders>
</httpProtocol>