X-Content-Type-Options header
Der HTTP-X-Content-Type-Options-Response-Header gibt an, dass die im Content-Type-Header beworbenen MIME-Typen respektiert und nicht verändert werden sollten. Der Header ermöglicht es Ihnen, MIME-Type-Sniffing zu vermeiden, indem Sie festlegen, dass die MIME-Typen absichtlich konfiguriert sind.
Sicherheitstester von Websites erwarten in der Regel, dass dieser Header gesetzt ist.
Hinweis:
Der X-Content-Type-Options-Header gilt nur für Request-Blocking aufgrund von nosniff für Request-Ziele vom Typ "script" und "style".
| Header-Typ | Response-Header |
|---|
Syntax
http
X-Content-Type-Options: nosniff
Direktiven
nosniff-
Blockiert eine Anfrage, wenn das Anfrageziel vom Typ
styleist und der MIME-Typ nichttext/cssist oder vom Typscriptist und der MIME-Typ nicht ein JavaScript-MIME-Typ ist.
Spezifikationen
| Specification |
|---|
| Fetch # x-content-type-options-header |
Browser-Kompatibilität
Siehe auch
Content-Type- Die ursprüngliche Definition von X-Content-Type-Options von Microsoft.
- Verwenden Sie HTTP Observatory, um die Sicherheitskonfiguration von Websites zu testen (einschließlich dieses Headers).
- Abmilderung von MIME-Confusion-Angriffen in Firefox