X-Content-Type-Options

El encabezado HTTP de respuesta X-Content-Type-Options es un marcador utilizado por el servidor para indicar que los tipos MIME anunciados en los encabezados Content-Type no se deben cambiar ni seguir. Esto permite desactivar el MIME type sniffing, o, en otras palabras, es una manera de decir que los webmasters sab铆an lo que estaban haciendo.

Este encabezado fue introducido por Microsoft en IE 8 para que los webmasters bloquearan el rastreo de contenido, pudiendo transformar tipos MIME no ejecutables en tipos MIME ejecutables. Desde entonces, otros navegadores lo han introducido, incluso con  algoritmos de detecci贸n MIME menos agresivos.

Los evaluadores de seguridad del sitio suelen esperar que este encabezado aparezca.

Note: nosniff solo se aplican a los tipos "script" y "style". Adem谩s la aplicaci贸n de nosniff a las im谩genes resulto ser incompatible con los sitios web existentes.

Header type Response header
Forbidden header name no

Sintaxis

X-Content-Type-Options: nosniff

Directivas

nosniff
Bloquea una solicitud si el tipo solicitado es
  • "style" y el tipo MIME no es "text/css", o
  • "script" y el tipo MIME no es un JavaScript MIME type.

Especificaciones

Especificaci贸n Estado Comentario
Fetch
La definici贸n de 'X-Content-Type-Options definition' en esta especificaci贸n.
Living Standard Definici贸n inicial

Compatibilidad del navegador

BCD tables only load in the browser

Vea tambi茅n