X-Content-Type-Options

O header de resposta HTTP X-Content-Type-Options é um marcador usado pelo servidor para indicar que os MIME types enviados pelos headers Content-Type não devem ser alterados e seguidos. Isto permite que o usuário opte por não participar do chamado MIME Type Sniffing ou, em outras palavras, é uma forma de dizer que os webmasters estão vendo o que você está fazendo.

Este header foi incluído pela Microsoft no IE 8 como uma maneira de webmasters serem capazes de bloquear o sniffing de conteúdo que acontecia na época, e podia transformar tipos MIME não executáveis em tipos executáveis. Desde então, outros browsers acataram a ideia mesmo que seus algoritmos de definição de MIME fossem menos agressivos.

Experts em segurança da informação geralmente esperam que este header esteja presente.

Nota: nosniff só se aplica para tipos "script" e "style". Também, aplicar nosniff em tipos de imagem provou-se ser incompatível com sites existentes.

Tipo do header	Header de resposta
Alteração de nome proibida	não

Sintaxe

X-Content-Type-Options: nosniff

Diretivas

nosniff

Bloqueia uma requisição se o tipo for:

"style" e o tipo MIME não é "text/css", ou
"script" e o tipo MIME não é um tipo JavaScript.

Especificações

Especificação	Status	Comentário
Fetch The definition of 'X-Content-Type-Options definition' in that specification.	Padrão em tempo real	Definição inicial

Compatibilidade dos browsers

Update compatibility data on GitHub

	Desktop						Mobile
	Chrome	Edge	Firefox	Internet Explorer	Opera	Safari	Android webview	Chrome for Android	Firefox for Android	Opera for Android	Safari on iOS	Samsung Internet
`X-Content-Type-Options`	Chrome Full support 64 Full support 64 Partial support 1 Notes Notes Not supported for stylesheets.	Edge Full support 12	Firefox Full support 50	IE Full support 8	Opera Full support Yes	Safari Full support 11	WebView Android Full support 64 Full support 64 Partial support Partial Notes Notes Not supported for stylesheets.	Chrome Android Full support 64 Full support 64 Partial support Partial Notes Notes Not supported for stylesheets.	Firefox Android Full support 50	Opera Android Full support Yes	Safari iOS Full support 11	Samsung Internet Android Full support 9.0 Full support 9.0 Partial support Partial Notes Notes Not supported for stylesheets.

Legend

Full support: Full support
See implementation notes.: See implementation notes.

Veja também

Content-Type
A definição original do X-Content-Type-Options pela Microsoft.
A ferramenta Mozilla Observatory testando a configuração (incluindo este header) de páginas por segurança e precaução.
Mitigando ataques de confusão de MIME no Firefox

Última modificação: Mar 23, 2019, por colaboradores da MDN