X-Content-Type-Options

Ir para:
  1. Sintaxe
  2. Diretivas
  3. Especificações
  4. Compatibilidade dos browsers
  5. Veja também

O header de resposta HTTP X-Content-Type-Options é um marcador usado pelo servidor para indicar que os MIME types enviados pelos headers Content-Type não devem ser alterados e seguidos. Isto permite que o usuário opte por não participar do chamado MIME Type Sniffing ou, em outras palavras, é uma forma de dizer que os webmasters estão vendo o que você está fazendo.

Este header foi incluído pela Microsoft no IE 8 como uma maneira de webmasters serem capazes de bloquear o sniffing de conteúdo que acontecia na época, e podia transformar tipos MIME não executáveis em tipos executáveis. Desde então, outros browsers acataram a ideia mesmo que seus algoritmos de definição de MIME fossem menos agressivos.

Experts em segurança da informação geralmente esperam que este header esteja presente.

Nota: nosniff só se aplica para tipos "script" e "style". Também, aplicar nosniff em tipos de imagem provou-se ser incompatível com sites existentes.

Tipo do header Header de resposta
Alteração de nome proibida não

Sintaxe

X-Content-Type-Options: nosniff

Diretivas

nosniff
Bloqueia uma requisição se o tipo for:
  • "style" e o tipo MIME não é "text/css", ou
  • "script" e o tipo MIME não é um tipo JavaScript.

Especificações

Especificação Status Comentário
Fetch
The definition of 'X-Content-Type-Options definition' in that specification.		 Padrão em tempo real Definição inicial

Compatibilidade dos browsers

FeatureChromeEdgeFirefoxInternet ExplorerOperaSafari
Basic support1 Yes508 Yes No
FeatureAndroid webviewChrome for AndroidEdge mobileFirefox for AndroidOpera AndroidiOS SafariSamsung Internet
Basic support Yes Yes Yes50 Yes No Yes

Veja também

Etiquetas do documento e colaboradores

Etiquetas: 
Colaboradores desta página: khaosdoctor
Última atualização por: khaosdoctor,