X-Content-Type-Options ヘッダー
HTTP の X-Content-Type-Options はレスポンスヘッダーで、Content-Type ヘッダーで示された MIME タイプを尊重し、変更すべきでないことを示します。
このヘッダーにより、MIME タイプのスニッフィングを抑止し、MIME タイプを意図的に設定することができます。
サイトのセキュリティテスターは通常、このヘッダーが設定されていることを期待しています。
メモ:
X-Content-Type-Options は、 nosniff によるリクエストブロッキングをリクエスト先が "script" と "style" の場合のみ適用します。
| ヘッダー種別 | レスポンスヘッダー |
|---|---|
| 禁止リクエストヘッダー | いいえ |
構文
http
X-Content-Type-Options: nosniff
ディレクティブ
nosniff-
リクエスト先のタイプが
styleであり、その MIME タイプがtext/cssではない場合、または、タイプがscriptで MIME タイプが JavaScript の MIME タイプではない場合にリクエストをブロックします。
仕様書
| Specification |
|---|
| Fetch # x-content-type-options-header |
ブラウザーの互換性
関連情報
Content-Type- Microsoft による X-Content-Type-Options の 元の定義
- HTTP Observatory ツールによるウェブサイトのセキュリティ構成(このヘッダーを含む)のテスト
- Firefox における MIME 混同攻撃の緩和