Domino 11 Web-Sicherheit nosniff

[oliK]

Hallo,

seit dem Update eines Test-Dominoservers von 10.0.1FP3 auf 11.0 können auf einer dort laufenden Website einige Javascript-Elemente nicht mehr via Browser ausgeführt werden. Der Browser meckert beispielsweise an
"Die Ressource von "https://test.domain.intern/test.nsf/wui-js/jquery.ux.js" wurde wegen eines MIME-Typ-Konfliktes ("application/octet-stream") blockiert (X-Content-Type-Options: nosniff)."
Wurde da automatisch die Sicherheit hochgedreht? Kann man diesen Parameter über die Website-Regeln wieder deaktivieren?
Habe ich versucht aber funktioniert leider nicht. (HTTP-Responseheader, don't add header)

[heini_schwammerl]

Hallo olik,

eigentlich ist es wünschenswert dass man Javascript Dateien mit einem korrekten Mime Header ausliefert. Falls es nicht zu viele Dateien sind würde es sich also lohnen das eventuell anzupassen falls sie in der nsf direkt liegen!?
Ansonsten sind im Domino Directory unter Configuration -> Web -> File Identifications die Dateiendungen mit den Mimetypen hinterlegt. Zumindest hier in meinem Verzeichnis gibt es seltsamerweise keinen Eintrag für den Dateityp js, so dass dann vermutlich der default Eintrag greifen würde (unknown / octet-stream).
Ich kann aber nicht ausschliessen dass es mal einen Eintrag für js Dateien mal gegeben hat. Warum ich den dann entfernt habe kann ich aber leider nicht mehr sagen.
Das Verhalten des 11er Servers wäre zumindest in meiner Konfiguration eher konsequent, einen Workaround kenne ich daher nicht. Ich werde mir das ggf. heute mal auf meinem Sametime Server anschauen, der ist ja jetzt auf der Version 11, auch wenn er, was Sametime betrifft, noch nicht korrekt funktioniert.

Bei Änderungen an den Dateitypen im Dominoverzeichnis muss man vermutlich den http Task neu starten, ggf. den ganzen Server.
Gruß

Henning

[oliK]

Hi,
dein Screenshot hat mich gerettet.
- Ich benötige keine Änderungen an den Website-Rules.
- Ich benötige keine Änderungen an den Datei-Typen für Web.
- Ich habe die Datei httpd.cnf im Data-Verzeichnis geprüft und die sieht aus wie unter Domino 10. Da ist auch .js enthalten.
(AddType  .js       application/x-javascript             # JavaScript)

Ich habe nun tatsächlich mal mir die entsprechende Datenbank angeschaut und dort stand in den angemeckerten .js-Dateien der Dateibibliothek über Designer jeweils der MIME-Type "application/octet-stream" fest drin und hat dadurch vermutlich die Vorgabe der httpd.cnf überschrieben.
Die MIME-Types habe ich für die .js-Dateien auf leer gesetzt und die Warungen sind weg und es funktioniert.
Vermutlich wird der MIME-Type bei paste in die Dateien der Anwendung gesetzt und Domino-Pre-11 hat das bisher ignoriert.

Vielen Dank für den Ansatz.