Esta traducción está incompleta. Por favor, ayuda a traducir este artículo del inglés.
El encabezado HTTP de respuesta X-Content-Type-Options es un marcador utilizado por el servidor para indicar que los tipos MIME anunciados en los encabezados Content-Type no se deben cambiar ni seguir. Esto permite desactivar el MIME type sniffing, o, en otras palabras, es una manera de decir que los webmasters sabían lo que estaban haciendo.
Este encabezado fue introducido por Microsoft en IE 8 para que los webmasters bloquearan el rastreo de contenido, pudiendo transformar tipos MIME no ejecutables en tipos MIME ejecutables. Desde entonces, otros navegadores lo han introducido, incluso con algoritmos de detección MIME menos agresivos.
Los evaluadores de seguridad del sitio suelen esperar que este encabezado aparezca.
Note: nosniff solo se aplican a los tipos "script" y "style". Además la aplicación de nosniff a las imágenes resulto ser incompatible con los sitios web existentes.
| Header type | Response header |
|---|---|
| Forbidden header name | no |
Sintaxis
X-Content-Type-Options: nosniff
Directivas
nosniff- Bloquea una solicitud si el tipo solicitado es
- "
style" y el tipo MIME no es "text/css", o - "
script" y el tipo MIME no es un JavaScript MIME type.
- "
Especificaciones
| Especificación | Estado | Comentario |
|---|---|---|
| Fetch La definición de 'X-Content-Type-Options definition' en esta especificación. |
Living Standard | Definición inicial |
Compatibilidad del navegador
The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.
| Desktop | Mobile | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Soporte básico | Chrome Soporte completo 1 | Edge Soporte completo Si | Firefox Soporte completo 50 | IE Soporte completo 8 | Opera Soporte completo Si | Safari Sin soporte No | WebView Android Soporte completo Si | Chrome Android Soporte completo Si | Edge Mobile Soporte completo Si | Firefox Android Soporte completo 50 | Opera Android Soporte completo Si | Safari iOS Sin soporte No | Samsung Internet Android Soporte completo Si |
Leyenda
- Soporte completo
- Soporte completo
- Sin soporte
- Sin soporte
- No estandar . Esperar poco soporte entre navegadores.
- No estandar . Esperar poco soporte entre navegadores.
Vea también
Content-Type- The original definition of X-Content-Type-Options by Microsoft.
- The Mozilla Observatory tool testing the configuration (including this header) of Web sites for safety and security