O header de resposta HTTP X-Content-Type-Options é um marcador usado pelo servidor para indicar que os MIME types enviados pelos headers Content-Type não devem ser alterados e seguidos. Isto permite que o usuário opte por não participar do chamado MIME Type Sniffing ou, em outras palavras, é uma forma de dizer que os webmasters estão vendo o que você está fazendo.
Este header foi incluído pela Microsoft no IE 8 como uma maneira de webmasters serem capazes de bloquear o sniffing de conteúdo que acontecia na época, e podia transformar tipos MIME não executáveis em tipos executáveis. Desde então, outros browsers acataram a ideia mesmo que seus algoritmos de definição de MIME fossem menos agressivos.
Experts em segurança da informação geralmente esperam que este header esteja presente.
Nota: nosniff só se aplica para tipos "script" e "style". Também, aplicar nosniff em tipos de imagem provou-se ser incompatível com sites existentes.
| Tipo do header | Header de resposta |
|---|---|
| Alteração de nome proibida | não |
Sintaxe
X-Content-Type-Options: nosniff
Diretivas
nosniff- Bloqueia uma requisição se o tipo for:
- "
style" e o tipo MIME não é "text/css", ou - "
script" e o tipo MIME não é um tipo JavaScript.
- "
Especificações
| Especificação | Status | Comentário |
|---|---|---|
| Fetch The definition of 'X-Content-Type-Options definition' in that specification. |
Padrão em tempo real | Definição inicial |
Compatibilidade dos browsers
The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.
| Desktop | Mobile | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
X-Content-Type-Options | Chrome
Full support
64
| Edge Full support Yes | Firefox Full support 50 | IE Full support 8 | Opera Full support Yes | Safari No support No | WebView Android
Full support
64
| Chrome Android
Full support
64
| Edge Mobile Full support Yes | Firefox Android Full support 50 | Opera Android Full support Yes | Safari iOS No support No | Samsung Internet Android Full support Yes |
Legend
- Full support
- Full support
- No support
- No support
- Non-standard. Expect poor cross-browser support.
- Non-standard. Expect poor cross-browser support.
- See implementation notes.
- See implementation notes.
Veja também
Content-Type- A definição original do X-Content-Type-Options pela Microsoft.
- A ferramenta Mozilla Observatory testando a configuração (incluindo este header) de páginas por segurança e precaução.