X-Content-Type-Options
Der HTTP X-Content-Type-Options Antwort-Header gibt an, dass die im Content-Type Header angekündigten MIME-Typen respektiert und nicht geändert werden sollten. Der Header erlaubt es Ihnen, MIME-Typ Sniffing zu vermeiden, indem er spezifiziert, dass die MIME-Typen absichtlich konfiguriert sind.
Sicherheitstester von Websites erwarten üblicherweise, dass dieser Header gesetzt ist.
Hinweis:
Der X-Content-Type-Options Header gilt nur für die Anforderungsblockierung aufgrund von nosniff für Anforderungsziele vom Typ "script" und "style".
Er aktiviert jedoch auch den Schutz von Cross-Origin Read Blocking (CORB) für HTML-, TXT-, JSON- und XML-Dateien (ausgenommen SVG image/svg+xml).
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Anfrage-Header | Nein |
Syntax
X-Content-Type-Options: nosniff
Direktiven
nosniff-
Blockiert eine Anfrage, wenn das Anforderungsziel vom Typ
styleist und der MIME-Typ nichttext/cssist oder vom Typscriptund der MIME-Typ kein JavaScript MIME-Typ ist.
Spezifikationen
| Specification |
|---|
| Fetch # x-content-type-options-header |
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
Content-Type- Die ursprüngliche Definition von X-Content-Type-Options durch Microsoft.
- Verwenden Sie das HTTP Observatory zur Überprüfung der Sicherheitskonfiguration von Websites (einschließlich dieses Headers).
- Vermeidung von MIME-Verwirrungsangriffen in Firefox
- Cross-Origin Read Blocking (CORB)
- Google Docs CORB Erklärung