X-Content-Type-Options header
Der HTTP X-Content-Type-Options Antwort-Header gibt an, dass die im Content-Type Header beworbenen MIME-Typen respektiert und nicht verändert werden sollen. Der Header ermöglicht es Ihnen, MIME-Typ-Sniffing zu vermeiden, indem er angibt, dass die MIME-Typen absichtlich konfiguriert sind.
Sicherheitstester für Webseiten erwarten in der Regel, dass dieser Header gesetzt ist.
Hinweis:
Der X-Content-Type-Options Header blockiert Anfragen nur aufgrund von nosniff für Anfrageziele vom Typ "script" und "style".
Zudem aktiviert er den Cross-Origin Read Blocking (CORB) Schutz für HTML-, TXT-, JSON- und XML-Dateien (ausgenommen SVG image/svg+xml).
| Header-Typ | Antwort-Header |
|---|---|
| Verbotener Anfrage-Header | Nein |
Syntax
X-Content-Type-Options: nosniff
Direktiven
nosniff-
Blockiert eine Anfrage, wenn das Anfrageziel vom Typ
styleist und der MIME-Typ nichttext/cssist, oder vom Typscriptist und der MIME-Typ kein JavaScript MIME-Typ ist.
Spezifikationen
| Specification |
|---|
| Fetch # x-content-type-options-header |
Browser-Kompatibilität
Siehe auch
Content-Type- Die ursprüngliche Definition von X-Content-Type-Options durch Microsoft.
- Verwenden Sie HTTP Observatory, um die Sicherheitskonfiguration von Webseiten zu testen (einschließlich dieses Headers).
- Abmilderung von MIME-Verwirrungsangriffen in Firefox
- Cross-Origin Read Blocking (CORB)
- Google Docs CORB-Erklärung