Joomlaはデフォルトの htaccess.txt と web.config.txt ファイルに追加のセキュリティ強化を施してリリースされています。これらの強化により、Webブラウザのいわゆる MIME スニッフィング が無効になります。スニッフィングは、通常無害なファイル形式(例:画像)のスクリプトが実行される特定の攻撃経路につながり、クロスサイトスクリプティングの脆弱性を引き起こします。
セキュリティチームは、必要な変更を既存の .htaccessファイル または web.configファイル に手動で適用することをお勧めします。これらのファイルは自動的に更新できないためです。
.htaccess に対する変更
33行目「## Mod_rewrite in use.」の前に次の内容を追加:
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>
web.config に対する変更
28行目 </rewrite> の直後に次の内容を追加:
<httpProtocol>
<customHeaders>
<add name="X-Content-Type-Options" value="nosniff" />
</customHeaders>
</httpProtocol>