O header de resposta HTTP X-Content-Type-Options é um marcador usado pelo servidor para indicar que os MIME types enviados pelos headers Content-Type não devem ser alterados e seguidos. Isto permite que o usuário opte por não participar do chamado MIME Type Sniffing ou, em outras palavras, é uma forma de dizer que os webmasters estão vendo o que você está fazendo.

Este header foi incluído pela Microsoft no IE 8 como uma maneira de webmasters serem capazes de bloquear o sniffing de conteúdo que acontecia na época, e podia transformar tipos MIME não executáveis em tipos executáveis. Desde então, outros browsers acataram a ideia mesmo que seus algoritmos de definição de MIME fossem menos agressivos.

Experts em segurança da informação geralmente esperam que este header esteja presente.

Nota: nosniff só se aplica para tipos "script" e "style". Também, aplicar nosniff em tipos de imagem provou-se ser incompatível com sites existentes.

Tipo do header Header de resposta
Alteração de nome proibida não

Sintaxe

X-Content-Type-Options: nosniff

Diretivas

nosniff
Bloqueia uma requisição se o tipo for:
  • "style" e o tipo MIME não é "text/css", ou
  • "script" e o tipo MIME não é um tipo JavaScript.

Especificações

Especificação Status Comentário
Fetch
The definition of 'X-Content-Type-Options definition' in that specification.
Padrão em tempo real Definição inicial

Compatibilidade dos browsers

Update compatibility data on GitHub
DesktopMobile
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewChrome for AndroidEdge MobileFirefox for AndroidOpera for AndroidiOS SafariSamsung Internet
Basic support
Non-standard
Chrome Full support 1Edge Full support YesFirefox Full support 50IE Full support 8Opera Full support YesSafari No support NoWebView Android Full support YesChrome Android Full support YesEdge Mobile Full support YesFirefox Android Full support 50Opera Android Full support YesSafari iOS No support NoSamsung Internet Android Full support Yes

Legend

Full support  
Full support
No support  
No support
Non-standard. Expect poor cross-browser support.
Non-standard. Expect poor cross-browser support.

Veja também

Etiquetas do documento e colaboradores

Colaboradores desta página: khaosdoctor
Última atualização por: khaosdoctor,