X-Content-Type-Options

O header de resposta HTTP X-Content-Type-Options é um marcador usado pelo servidor para indicar que os MIME types enviados pelos headers Content-Type não devem ser alterados e seguidos. Isto permite que o usuário opte por não participar do chamado MIME Type Sniffing ou, em outras palavras, é uma forma de dizer que os webmasters estão vendo o que você está fazendo.

Este header foi incluído pela Microsoft no IE 8 como uma maneira de webmasters serem capazes de bloquear o sniffing de conteúdo que acontecia na época, e podia transformar tipos MIME não executáveis em tipos executáveis. Desde então, outros browsers acataram a ideia mesmo que seus algoritmos de definição de MIME fossem menos agressivos.

Experts em segurança da informação geralmente esperam que este header esteja presente.

Nota: nosniff só se aplica para tipos "script" e "style". Também, aplicar nosniff em tipos de imagem provou-se ser incompatível com sites existentes.

Tipo do header Header de resposta
Alteração de nome proibida não

Sintaxe

X-Content-Type-Options: nosniff

Diretivas

nosniff

Bloqueia uma requisição se o tipo for:

  • "style" e o tipo MIME não é "text/css", ou
  • "script" e o tipo MIME não é um tipo JavaScript.

Especificações

Specification
Fetch
# x-content-type-options-header

Compatibilidade com navegadores

Report problems with this compatibility data on GitHub
desktopmobile
Chrome
Edge
Firefox
Opera
Safari
Chrome Android
Firefox for Android
Opera Android
Safari on iOS
Samsung Internet
WebView Android
WebView on iOS
X-Content-Type-Options

Legend

Tip: you can click/tap on a cell for more information.

Full support
Full support
Partial support
Partial support
Has more compatibility info.

Veja também