X-Content-Type-Options

This translation is incomplete. Please help translate this article from English

El encabezado HTTP de respuesta X-Content-Type-Options es un marcador utilizado por el servidor para indicar que los tipos MIME anunciados en los encabezados Content-Type no se deben cambiar ni seguir. Esto permite desactivar el MIME type sniffing, o, en otras palabras, es una manera de decir que los webmasters sabían lo que estaban haciendo.

Este encabezado fue introducido por Microsoft en IE 8 para que los webmasters bloquearan el rastreo de contenido, pudiendo transformar tipos MIME no ejecutables en tipos MIME ejecutables. Desde entonces, otros navegadores lo han introducido, incluso con  algoritmos de detección MIME menos agresivos.

Los evaluadores de seguridad del sitio suelen esperar que este encabezado aparezca.

Note: nosniff solo se aplican a los tipos "script" y "style". Además la aplicación de nosniff a las imágenes resulto ser incompatible con los sitios web existentes.

Header type Response header
Forbidden header name no

Sintaxis

X-Content-Type-Options: nosniff

Directivas

nosniff
Bloquea una solicitud si el tipo solicitado es
  • "style" y el tipo MIME no es "text/css", o
  • "script" y el tipo MIME no es un JavaScript MIME type.

Especificaciones

Especificación Estado Comentario
Fetch
La definición de 'X-Content-Type-Options definition' en esta especificación.		 Living Standard Definición inicial

Compatibilidad del navegador

Update compatibility data on GitHub
DesktopMobile
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewChrome para AndroidFirefox para AndroidOpera para AndroidSafari en iOSSamsung Internet
X-Content-Type-OptionsChrome Soporte completo 64
Soporte completo 64
Soporte parcial 1
Notas
Notas Not supported for stylesheets.
Edge Soporte completo 12Firefox Soporte completo 50IE Soporte completo 8Opera Soporte completo SiSafari Sin soporte NoWebView Android Soporte completo 64
Soporte completo 64
Soporte parcial Parcial
Notas
Notas Not supported for stylesheets.
Chrome Android Soporte completo 64
Soporte completo 64
Soporte parcial Parcial
Notas
Notas Not supported for stylesheets.
Firefox Android Soporte completo 50Opera Android Soporte completo SiSafari iOS Sin soporte NoSamsung Internet Android Soporte completo 9.0
Soporte completo 9.0
Soporte parcial Parcial
Notas
Notas Not supported for stylesheets.

Leyenda

Soporte completo  
Soporte completo
Sin soporte  
Sin soporte
Ver notas de implementación.
Ver notas de implementación.

Vea también

Temas relacionados
  1. HTTP
  2. Guias:
  3. Recursons y URIs
    1. Identificación de recursons en la Web
    2. URIs de Datos
    3. Presentación de tipos MIME
    4. Lista completa de tipos MIME
    5. Eleción entre ww y no-www URLs
  4. HTTP guide
    1. Fundamentos de HTTP
    2. Generalidades de HTTP
    3. Evolución de HTTP
    4. Mensajes HTTP
    5. Una típica comunicación HTTP
    6. Gestión de la conexión en HTTP/1.x
    7. Protocol upgrade mechanism
  5. Seguridad en HTTP
    1. Content Security Policy (CSP)
    2. HTTP Public Key Pinning (HPKP)
    3. HTTP Strict Transport Security (HSTS)
    4. Cookie security
    5. X-Content-Type-Options
    6. X-Frame-Options
    7. X-XSS-Protection
    8. Mozilla web security guidelines
    9. Mozilla Observatory
  6. Control de acceso en HTTP(CORS)
  7. Autenticación en HTTP
  8. HTTP caching
  9. Compresión en HTTP
  10. Peticiones condicionales en HTTP
  11. Gestión del contenido en HTTP
  12. HTTP cookies
  13. Rangos de peticiones HTTP
  14. Redirecciones en HTTP
  15. La especificación de HTTP
  16. Feature policy
  17. Referencias:
  18. Cabeceras HTTP
    1. Accept
    2. Accept-CH [Traducir]
    3. Accept-CH-Lifetime [Traducir]
    4. Accept-Charset
    5. Accept-Encoding [Traducir]
    6. Accept-Language [Traducir]
    7. Accept-Patch [Traducir]
    8. Accept-Ranges
    9. Access-Control-Allow-Credentials [Traducir]
    10. Access-Control-Allow-Headers
    11. Access-Control-Allow-Methods
    12. Access-Control-Allow-Origin
    13. Access-Control-Expose-Headers
    14. Access-Control-Max-Age [Traducir]
    15. Access-Control-Request-Headers [Traducir]
    16. Access-Control-Request-Method [Traducir]
    17. Age
    18. Allow
    19. Alt-Svc [Traducir]
    20. Authorization
    21. Cache-Control
    22. Clear-Site-Data [Traducir]
    23. Connection [Traducir]
    24. Content-Disposition
    25. Content-Encoding
    26. Content-Language [Traducir]
    27. Content-Length
    28. Content-Location [Traducir]
    29. Content-Range [Traducir]
    30. Content-Security-Policy
    31. Content-Security-Policy-Report-Only [Traducir]
    32. Content-Type
    33. Cookie
    34. Cookie2 [Traducir]
    35. Cross-Origin-Resource-Policy [Traducir]
    36. DNT [Traducir]
    37. DPR [Traducir]
    38. Date [Traducir]
    39. Device-Memory [Traducir]
    40. Digest [Traducir]
    41. ETag
    42. Early-Data [Traducir]
    43. Expect [Traducir]
    44. Expect-CT [Traducir]
    45. Expires
    46. Feature-Policy [Traducir]
    47. Forwarded [Traducir]
    48. From [Traducir]
    49. Host
    50. If-Match [Traducir]
    51. If-Modified-Since [Traducir]
    52. If-None-Match [Traducir]
    53. If-Range [Traducir]
    54. If-Unmodified-Since [Traducir]
    55. Index [Traducir]
    56. Keep-Alive
    57. Large-Allocation [Traducir]
    58. Last-Modified [Traducir]
    59. Link [Traducir]
    60. Location [Traducir]
    61. Origin
    62. Pragma
    63. Proxy-Authenticate [Traducir]
    64. Proxy-Authorization [Traducir]
    65. Public-Key-Pins [Traducir]
    66. Public-Key-Pins-Report-Only [Traducir]
    67. Range [Traducir]
    68. Referer
    69. Referrer-Policy
    70. Retry-After [Traducir]
    71. Save-Data [Traducir]
    72. Sec-WebSocket-Accept [Traducir]
    73. Server
    74. Server-Timing [Traducir]
    75. Set-Cookie
    76. Set-Cookie2 [Traducir]
    77. SourceMap [Traducir]
    78. Strict-Transport-Security
    79. TE [Traducir]
    80. Timing-Allow-Origin [Traducir]
    81. Tk [Traducir]
    82. Trailer [Traducir]
    83. Transfer-Encoding
    84. Upgrade-Insecure-Requests [Traducir]
    85. User-Agent
    86. Vary
    87. Via [Traducir]
    88. WWW-Authenticate
    89. Want-Digest [Traducir]
    90. Warning [Traducir]
    91. X-Content-Type-Options
    92. X-DNS-Prefetch-Control [Traducir]
    93. X-Forwarded-For
    94. X-Forwarded-Host [Traducir]
    95. X-Forwarded-Proto [Traducir]
    96. X-Frame-Options
    97. X-XSS-Protection
  19. Métodos de petición HTTP
    1. CONNECT
    2. DELETE [Traducir]
    3. GET
    4. HEAD [Traducir]
    5. OPTIONS [Traducir]
    6. PATCH
    7. POST
    8. PUT
    9. TRACE
  20. Códigos de estado de HTTP
    1. 100 Continue
    2. 101 Switching Protocols
    3. 103 Early Hints [Traducir]
    4. 200 OK
    5. 201 Created
    6. 202 Aceptado
    7. 203 Non-Authoritative Information [Traducir]
    8. 204 No Content [Traducir]
    9. 205 Reset Content [Traducir]
    10. 206 Partial Content
    11. 300 Multiple Choices [Traducir]
    12. 301 Movido Permanentemente
    13. 302 Found
    14. 303 See Other [Traducir]
    15. 304 Not Modified
    16. 307 Temporary Redirect [Traducir]
    17. 308 Permanent Redirect [Traducir]
    18. 400 Petición mala
    19. 401 Unauthorized
    20. 402 Payment Required [Traducir]
    21. 403 Forbidden
    22. 404 Not Found
    23. 405 Method Not Allowed [Traducir]
    24. 406 Not Acceptable
    25. 407 Proxy Authentication Required [Traducir]
    26. 408 Request Timeout
    27. 409 Conflict [Traducir]
    28. 410 Gone [Traducir]
    29. 411 Length Required [Traducir]
    30. 412 Precondition Failed [Traducir]
    31. 413 Payload Too Large [Traducir]
    32. 414 URI Too Long [Traducir]
    33. 415 Unsupported Media Type [Traducir]
    34. 416 Range Not Satisfiable [Traducir]
    35. 417 Expectation Failed [Traducir]
    36. 418 Soy una tetera
    37. 422 Unprocessable Entity [Traducir]
    38. 425 Too Early [Traducir]
    39. 426 Upgrade Required [Traducir]
    40. 428 Precondition Required [Traducir]
    41. 429 Too Many Requests [Traducir]
    42. 431 Request Header Fields Too Large [Traducir]
    43. 451 Unavailable For Legal Reasons [Traducir]
    44. 500 Internal Server Error
    45. 501 Not Implemented [Traducir]
    46. 502 Puerta de enlace no válida
    47. 503 Servicio No Disponible
    48. 504 Gateway Timeout
    49. 505 HTTP Version Not Supported [Traducir]
    50. 506 Variant Also Negotiates [Traducir]
    51. 507 Insufficient Storage [Traducir]
    52. 508 Loop Detected [Traducir]
    53. 510 Not Extended [Traducir]
    54. 511 Network Authentication Required [Traducir]
  21. Directivas CSP
    1. CSP: base-uri [Traducir]
    2. CSP: block-all-mixed-content [Traducir]
    3. CSP: child-src [Traducir]
    4. CSP: connect-src [Traducir]
    5. CSP: default-src [Traducir]
    6. CSP: font-src [Traducir]
    7. CSP: form-action [Traducir]
    8. CSP: frame-ancestors [Traducir]
    9. CSP: frame-src [Traducir]
    10. CSP: img-src [Traducir]
    11. CSP: manifest-src [Traducir]
    12. CSP: media-src [Traducir]
    13. CSP: navigate-to [Traducir]
    14. CSP: object-src [Traducir]
    15. CSP: plugin-types [Traducir]
    16. CSP: prefetch-src [Traducir]
    17. CSP: referrer [Traducir]
    18. CSP: report-to [Traducir]
    19. CSP: report-uri [Traducir]
    20. CSP: require-sri-for [Traducir]
    21. CSP: sandbox [Traducir]
    22. CSP: script-src [Traducir]
    23. CSP: script-src-attr [Traducir]
    24. CSP: script-src-elem [Traducir]
    25. CSP: style-src [Traducir]
    26. CSP: style-src-attr [Traducir]
    27. CSP: style-src-elem [Traducir]
    28. CSP: trusted-types [Traducir]
    29. CSP: upgrade-insecure-requests [Traducir]
    30. CSP: worker-src [Traducir]
  22. CORS errors
    1. Reason: CORS disabled [Traducir]
    2. Reason: CORS header 'Access-Control-Allow-Origin' does not match 'xyz' [Traducir]
    3. Reason: CORS header 'Access-Control-Allow-Origin' missing
    4. Reason: CORS header ‘Origin’ cannot be added [Traducir]
    5. Reason: CORS preflight channel did not succeed
    6. Reason: CORS request did not succeed
    7. Reason: CORS request external redirect not allowed [Traducir]
    8. Reason: CORS request not HTTP
    9. Reason: Credential is not supported if the CORS header ‘Access-Control-Allow-Origin’ is ‘*’ [Traducir]
    10. Reason: Did not find method in CORS header ‘Access-Control-Allow-Methods’ [Traducir]
    11. Reason: Multiple CORS header 'Access-Control-Allow-Origin' not allowed [Traducir]
    12. Reason: expected ‘true’ in CORS header ‘Access-Control-Allow-Credentials’ [Traducir]
    13. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ [Traducir]
    14. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Methods’ [Traducir]
    15. Reason: missing token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ from CORS preflight channel [Traducir]
  23. Feature-Policy directives
    1. Feature-Policy: accelerometer [Traducir]
    2. Feature-Policy: ambient-light-sensor [Traducir]
    3. Feature-Policy: autoplay [Traducir]
    4. Feature-Policy: battery [Traducir]
    5. Feature-Policy: camera [Traducir]
    6. Feature-Policy: display-capture [Traducir]
    7. Feature-Policy: document-domain [Traducir]
    8. Feature-Policy: encrypted-media [Traducir]
    9. Feature-Policy: fullscreen [Traducir]
    10. Feature-Policy: geolocation [Traducir]
    11. Feature-Policy: gyroscope [Traducir]
    12. Feature-Policy: layout-animations [Traducir]
    13. Feature-Policy: legacy-image-formats [Traducir]
    14. Feature-Policy: magnetometer [Traducir]
    15. Feature-Policy: microphone [Traducir]
    16. Feature-Policy: midi [Traducir]
    17. Feature-Policy: oversized-images [Traducir]
    18. Feature-Policy: payment [Traducir]
    19. Feature-Policy: picture-in-picture [Traducir]
    20. Feature-Policy: publickey-credentials [Traducir]
    21. Feature-Policy: speaker [Traducir]
    22. Feature-Policy: sync-xhr [Traducir]
    23. Feature-Policy: unoptimized-images [Traducir]
    24. Feature-Policy: unsized-media [Traducir]
    25. Feature-Policy: usb [Traducir]
    26. Feature-Policy: vibrate [Traducir]
    27. Feature-Policy: vr [Traducir]
    28. Feature-Policy: wake-lock [Traducir]
    29. Feature-Policy: xr [Traducir]
    30. Feature-Policy: xr-spatial-tracking [Traducir]