X-Content-Type-Options

X-Content-Type-Options レスポンス HTTP ヘッダーは、Content-Type ヘッダーでアドバタイズされた MIME タイプが変更されずに従うべきであることを示すためにサーバによって使用されるマーカーです。これにより、MIME タイプのスニッフィングをオプトアウトすることができます。つまり、Web マスターが自分のしていることを知っていたと言えます。

このヘッダは、Web マスターがコンテンツの盗聴をブロックする手段としてマイクロソフトが IE 8 で導入しましたが、それは、実行不可能な MIME タイプを実行可能な MIME タイプに変換する可能性があるためです。それ以来、MIME スニッフィングアルゴリズムがそれほど積極的でなくても、他のブラウザがそれを導入しました。

サイトのセキュリティテスターは通常、このヘッダーが設定されていることを期待しています。

メモ: nosniff は "script" と "style" タイプにのみ適用されます。また、画像に nosniff を適用すると、既存の Web サイトとの互換性がなくなります。

ヘッダータイプ Response header
禁止ヘッダー名 いいえ

構文

X-Content-Type-Options: nosniff

ディレクティブ

nosniff
リクエストされたタイプが以下の場合、リクエストをブロックします。

仕様

仕様書 ステータス コメント
Fetch
X-Content-Type-Options definition の定義
現行の標準 初期定義

ブラウザの互換性

Update compatibility data on GitHub
デスクトップモバイル
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewAndroid 版 ChromeAndroid 版 FirefoxAndroid 版 OperaiOSのSafariSamsung Internet
X-Content-Type-Options
非標準
Chrome 完全対応 64
完全対応 64
部分対応 1
補足
補足 Not supported for stylesheets.
Edge 完全対応 ありFirefox 完全対応 50IE 完全対応 8Opera 完全対応 ありSafari 未対応 なしWebView Android 完全対応 64
完全対応 64
部分対応 一部
補足
補足 Not supported for stylesheets.
Chrome Android 完全対応 64
完全対応 64
部分対応 一部
補足
補足 Not supported for stylesheets.
Firefox Android 完全対応 50Opera Android 完全対応 ありSafari iOS 未対応 なしSamsung Internet Android 完全対応 あり

凡例

完全対応  
完全対応
未対応  
未対応
非標準。ブラウザー間の互換性が低い可能性があります。
非標準。ブラウザー間の互換性が低い可能性があります。
実装ノートを参照してください。
実装ノートを参照してください。

あわせて参照