内容嗅探保护

控件名称

内容嗅探保护

推荐配置

• 启用内容嗅探保护

设置>会话设置>内容嗅探保护。

控制概览

为了防止浏览器错误地将文件解释为可执行脚本，Salesforce 管理员应在“会话设置”菜单中启用“启用内容嗅探保护”，以强制执行 X-Content-Type-Options: no smell 标题。

安全风险（如果未配置）

不启用内容嗅探保护允许浏览器忽略服务器声明的文件类型，并根据文件的内容“猜测”MIME 类型，从而造成漏洞，浏览器可以将看起来无害的文件（例如图像或文本文件）作为恶意脚本执行。这种疏忽大大增加了跨站点脚本 (XSS) 和即时下载攻击的风险。

威胁场景

攻击者将伪装成无害 .png 或 .txt 文件的恶意 JavaScript 负载上传到 Salesforce Case 或 Experience Cloud 入口网站。如果没有启用内容嗅探保护，毫无戒备的用户的浏览器就会“猜测”文件的真实性质并执行隐藏的脚本，从而使攻击者能够静默地窃取用户的活动会话 Cookie 并泄露敏感数据。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

不适用

高风险

MIME 嗅探的风险由于缺乏强大的内容安全策略 (CSP) 而变得更加严重，否则该策略将成为阻止执行未经授权的脚本的次要防御手段。

低风险或无风险

为了弥补内容嗅探保护的缺失，组织应该实施严格的内容安全策略 (CSP)，明确阻止执行未经授权的脚本或内联脚本，充当防止“嗅探”负载的辅助防火墙。

此外，为所有上传部署自动恶意软件和文件类型扫描可确保恶意文件（伪装成图像的脚本）在浏览器有机会误解它们之前被拦截和中和。

业务和集成注意事项

不适用

建议的补救措施

启用内容嗅探保护。

安全健康审查指导

安全运行状况审查会检查会话设置配置，以验证是否启用了内容嗅探保护，并与行业最佳实践保持一致。