X-Content-Type-Options レスポンス HTTP ヘッダーは、Content-Type ヘッダーでアドバタイズされた MIME タイプが変更されずに従うべきであることを示すためにサーバによって使用されるマーカーです。これにより、MIME タイプのスニッフィングをオプトアウトすることができます。つまり、Web マスターが自分のしていることを知っていたと言えます。
このヘッダは、Web マスターがコンテンツの盗聴をブロックする手段としてマイクロソフトが IE 8 で導入しましたが、それは、実行不可能な MIME タイプを実行可能な MIME タイプに変換する可能性があるためです。それ以来、MIME スニッフィングアルゴリズムがそれほど積極的でなくても、他のブラウザがそれを導入しました。
サイトのセキュリティテスターは通常、このヘッダーが設定されていることを期待しています。
メモ: nosniff は "script" と "style" タイプにのみ適用されます。また、画像に nosniff を適用すると、既存の Web サイトとの互換性がなくなります。
| ヘッダータイプ | Response header |
|---|---|
| 禁止ヘッダー名 | いいえ |
構文
X-Content-Type-Options: nosniff
ディレクティブ
nosniff- リクエストされたタイプが以下の場合、リクエストをブロックします。
- "
style" で MIME タイプが "text/css" でない、または - "
script" で MIME タイプが JavaScript の MIME タイプでない
- "
仕様
| 仕様書 | ステータス | コメント |
|---|---|---|
| Fetch X-Content-Type-Options definition の定義 |
現行の標準 | 初期定義 |
ブラウザの互換性
このページの互換性テーブルは構造化データから生成されます。データに貢献したい場合は https://github.com/mdn/browser-compat-data をチェックして、プルリクエストを送ってください。
Update compatibility data on GitHub
| デスクトップ | モバイル | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
X-Content-Type-Options | Chrome
完全対応
64
| Edge 完全対応 あり | Firefox 完全対応 50 | IE 完全対応 8 | Opera 完全対応 あり | Safari 未対応 なし | WebView Android
完全対応
64
| Chrome Android
完全対応
64
| Edge Mobile 完全対応 あり | Firefox Android 完全対応 50 | Opera Android 完全対応 あり | Safari iOS 未対応 なし | Samsung Internet Android 完全対応 あり |
凡例
- 完全対応
- 完全対応
- 未対応
- 未対応
- 非標準。ブラウザー間の互換性が低い可能性があります。
- 非標準。ブラウザー間の互換性が低い可能性があります。
- 実装ノートを参照してください。
- 実装ノートを参照してください。
あわせて参照
Content-Type- The original definition of X-Content-Type-Options by Microsoft.
- The Mozilla Observatory tool testing the configuration (including this header) of Web sites for safety and security
- Mitigating MIME Confusion Attacks in Firefox
- Cross-Origin Read Blocking (CORB)
- Google Docs CORB explainer