X-Content-Type-Options
O header de resposta HTTP X-Content-Type-Options é um marcador usado pelo servidor para indicar que os MIME types enviados pelos headers Content-Type
não devem ser alterados e seguidos. Isto permite que o usuário opte por não participar do chamado MIME Type Sniffing ou, em outras palavras, é uma forma de dizer que os webmasters estão vendo o que você está fazendo.
Este header foi incluído pela Microsoft no IE 8 como uma maneira de webmasters serem capazes de bloquear o sniffing de conteúdo que acontecia na época, e podia transformar tipos MIME não executáveis em tipos executáveis. Desde então, outros browsers acataram a ideia mesmo que seus algoritmos de definição de MIME fossem menos agressivos.
Experts em segurança da informação geralmente esperam que este header esteja presente.
Nota: nosniff
só se aplica para tipos "script" e "style". Também, aplicar nosniff
em tipos de imagem provou-se ser incompatível com sites existentes.
Tipo do header | Header de resposta |
---|---|
Alteração de nome proibida | não |
Sintaxe
X-Content-Type-Options: nosniff
Diretivas
nosniff
- Bloqueia uma requisição se o tipo for:
- "
style
" e o tipo MIME não é "text/css
", ou - "
script
" e o tipo MIME não é um tipo JavaScript.
- "
Especificações
Especificação | Status | Comentário |
---|---|---|
Fetch The definition of 'X-Content-Type-Options definition' in that specification. |
Padrão em tempo real | Definição inicial |
Compatibilidade dos browsers
BCD tables only load in the browser
The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.
Veja também
Content-Type
- A definição original do X-Content-Type-Options pela Microsoft.
- A ferramenta Mozilla Observatory testando a configuração (incluindo este header) de páginas por segurança e precaução.