X-Content-Type-Options header
Der HTTP X-Content-Type-Options
Antwortheader gibt an, dass die im Content-Type
-Header angegebenen MIME-Typen respektiert und nicht verändert werden sollen. Der Header ermöglicht es Ihnen, MIME-Type-Sniffing zu vermeiden, indem Sie spezifizieren, dass die MIME-Typen bewusst konfiguriert sind.
Sicherheitstester von Websites erwarten normalerweise, dass dieser Header gesetzt ist.
Hinweis:
Der X-Content-Type-Options
-Header blockiert Anfragen nur aufgrund von nosniff
für Request-Ziele von "script"
und "style"
.
Er aktiviert jedoch auch den Cross-Origin Read Blocking (CORB) Schutz für HTML-, TXT-, JSON- und XML-Dateien (mit Ausnahme von SVG image/svg+xml
).
Header-Typ | Antwortheader |
---|---|
Verbotener Anfrage-Header | Nein |
Syntax
X-Content-Type-Options: nosniff
Direktiven
nosniff
-
Blockiert eine Anfrage, wenn das Ziel der Anfrage vom Typ
style
ist und der MIME-Typ nichttext/css
ist, oder wenn es vom Typscript
ist und der MIME-Typ kein JavaScript MIME-Typ ist.
Spezifikationen
Specification |
---|
Fetch # x-content-type-options-header |
Browser-Kompatibilität
Siehe auch
Content-Type
- Die ursprüngliche Definition von X-Content-Type-Options von Microsoft.
- Verwenden Sie das HTTP Observatory, um die Sicherheitskonfiguration von Websites zu testen (einschließlich dieses Headers).
- Minderung von MIME-Verwechslungsangriffen in Firefox
- Cross-Origin Read Blocking (CORB)
- Google Docs CORB erklären