X-Content-Type-Options

Saltar a:

Sintaxis
Directivas
Especificaciones
Compatibilidad del navegador
Vea también

Esta traducción está incompleta. Por favor, ayuda a traducir este artículo del inglés.

El encabezado HTTP de respuesta X-Content-Type-Options es un marcador utilizado por el servidor para indicar que los tipos MIME anunciados en los encabezados Content-Type no se deben cambiar ni seguir. Esto permite desactivar el MIME type sniffing, o, en otras palabras, es una manera de decir que los webmasters sabían lo que estaban haciendo.

Este encabezado fue introducido por Microsoft en IE 8 para que los webmasters bloquearan el rastreo de contenido, pudiendo transformar tipos MIME no ejecutables en tipos MIME ejecutables. Desde entonces, otros navegadores lo han introducido, incluso con algoritmos de detección MIME menos agresivos.

Los evaluadores de seguridad del sitio suelen esperar que este encabezado aparezca.

Note: nosniff solo se aplican a los tipos "script" y "style". Además la aplicación de nosniff a las imágenes resulto ser incompatible con los sitios web existentes.

Header type	Response header
Forbidden header name	no

Sintaxis

X-Content-Type-Options: nosniff

Directivas

nosniff

Bloquea una solicitud si el tipo solicitado es

"style" y el tipo MIME no es "text/css", o
"script" y el tipo MIME no es un JavaScript MIME type.

Especificaciones

Especificación	Estado	Comentario
Fetch La definición de 'X-Content-Type-Options definition' en esta especificación.	Living Standard	Definición inicial

Compatibilidad del navegador

Update compatibility data on GitHub

	Desktop						Mobile
	Chrome	Edge	Firefox	Internet Explorer	Opera	Safari	Android webview	Chrome for Android	Edge Mobile	Firefox for Android	Opera for Android	Safari on iOS	Samsung Internet
`X-Content-Type-Options` No estándar	Chrome Soporte completo 64 Soporte completo 64 Soporte parcial 1 Notas Notas Not supported for stylesheets.	Edge Soporte completo Si	Firefox Soporte completo 50	IE Soporte completo 8	Opera Soporte completo Si	Safari Sin soporte No	WebView Android Soporte completo 64 Soporte completo 64 Soporte parcial Parcial Notas Notas Not supported for stylesheets.	Chrome Android Soporte completo 64 Soporte completo 64 Soporte parcial Parcial Notas Notas Not supported for stylesheets.	Edge Mobile Soporte completo Si	Firefox Android Soporte completo 50	Opera Android Soporte completo Si	Safari iOS Sin soporte No	Samsung Internet Android Soporte completo Si

Leyenda

Soporte completo: Soporte completo
Sin soporte: Sin soporte
No estandar . Esperar poco soporte entre navegadores.: No estandar . Esperar poco soporte entre navegadores.
Ver notas de implementación.: Ver notas de implementación.

Vea también

Content-Type
The original definition of X-Content-Type-Options by Microsoft.
The Mozilla Observatory tool testing the configuration (including this header) of Web sites for safety and security
Mitigating MIME Confusion Attacks in Firefox

Etiquetas y colaboradores del documento

Etiquetas:

Colaboradores en esta página: mdnwebdocs-bot, clbustos, tonialfaro

Última actualización por: mdnwebdocs-bot, 23 mar. 2019 18:02:08

Temas relacionados