X-Content-Type-Options header
Der HTTP X-Content-Type-Options Response-Header zeigt an, dass die in den Content-Type-Headern angegebenen MIME-Typen respektiert und nicht verändert werden sollten. Der Header ermöglicht es Ihnen, das MIME-Type-Sniffing zu vermeiden, indem er angibt, dass die MIME-Typen bewusst konfiguriert sind.
Sicherheitstester von Websites erwarten normalerweise, dass dieser Header gesetzt ist.
Hinweis:
Der X-Content-Type-Options-Header gilt nur für Anfragen, die aufgrund von nosniff geblockt werden, und zwar für Request-Ziele vom Typ "script" und "style".
| Header-Typ | Response-Header |
|---|---|
| Verbotener Request-Header | Nein |
Syntax
http
X-Content-Type-Options: nosniff
Direktiven
nosniff-
Blockiert eine Anfrage, wenn das Request-Ziel vom Typ
styleist und der MIME-Typ nichttext/cssist, oder vom Typscriptund der MIME-Typ kein JavaScript MIME-Typ ist.
Spezifikationen
| Specification |
|---|
| Fetch # x-content-type-options-header |
Browser-Kompatibilität
Siehe auch
Content-Type- Die ursprüngliche Definition von X-Content-Type-Options von Microsoft.
- Verwenden Sie HTTP Observatory, um die Sicherheitskonfiguration von Websites zu testen (einschließlich dieses Headers).
- Minderung von MIME-Verwirrungsangriffen in Firefox