MIME-Typ-Verifizierung

Ohne ordnungsgemäße MIME-Typ-Verifizierung könnten Browser fälschlicherweise Nicht-Skript- und Nicht-Stylesheet-Dateien als Skripte oder Stylesheets erkennen. Dieser Fehler ermöglicht das Laden potenziell schädlicher Dateien über <script> und <link>-Elemente im Rahmen von Cross-Site-Scripting (XSS)-Angriffen.

Alle Websites müssen den X-Content-Type-Options-Header mit dem Wert nosniff setzen und geeignete MIME-Typen für die Dateien angeben, die sie bereitstellen (d.h. über den Content-Type-Header).

nosniff blockiert eine Anfrage, wenn das Anfragedatum:

• vom Typ style ist und der MIME-Typ nicht text/css ist.
• vom Typ script ist und der MIME-Typ kein gültiger JavaScript-MIME-Typ ist.

Verhindert, dass Browser fälschlicherweise Nicht-Stylesheets als Stylesheets und Nicht-Skripte als Skripte erkennen:

X-Content-Type-Options: nosniff

• MIME-Typen (IANA-Medientypen): MIME Sniffing
• Server-MIME-Typen richtig konfigurieren