C# ASP X-CONTENT-TYPE-OPTIONS - Internet Explorer 不显示 PNG 文件

Question

为了在运行 OWASP ZAP 后更好地保护我们的网站应用程序，建议将标头 X-CONTENT-TYPE-OPTIONS 设置为 NOSNIFF，我已经这样做了。

尽管如此，任何本地托管的 PNG 文件都不再显示在 Internet Explorer（各种版本）上，并且响应中有图像数据（IE 开发工具将显示与响应关联的图像）。

检查响应后，我可以看到请求的 MIME 类型是 image/png，但响应 MIME 类型是 octet-stream。

确定这是已知 MIME 类型的问题，在 APPLICATION_BEGINREQUEST 阶段，我尝试检查 PNG 请求并设置 HttpContext.Current.Response.ContentType = "image/png";但响应仍然以八位字节流结束。

        if (HttpContext.Current.Request.Url.ToString().ToLower().Contains(".png"))
        {
            HttpContext.Current.Response.ContentType = "image/png";
        }

我也尝试修改应用程序 web.config 以添加：

<system.webServer>
  <staticContent>
     <mimeMap fileExtension=".png" mimeType="image/png" />
  </staticContent>
</system.webServer>

...但这也没有改变任何东西。

我想这个问题一定有解决方案，但到目前为止我还没有找到一个解决方案！

有没有人能解决这个问题？

提前致谢！

Answer 1

在快速检查 IIS 实例上的 MIME 类型后，我决定继续部署应用程序，无需更改 web.configuration，也无需 ContentType 代码。

瞧，一切都在 IE 中按应有的方式呈现。

因此，无论是什么问题，这似乎都是 Cassini 的问题！

希望这可以使某人免于将来进行任何冗长的调查！