X-Content-Type-Options

Esta tradução não está completa. Por favor ajude a traduzir este artigo a partir do Inglês.

Na resposta HTTP o cabeçalho X-Content-Type-Options é um marcador utilizado pelo servidor para indicar the os tipos de MIME anunciados nos cabeçalhos Content-Type não devem ser alterados e seguidos. Isto permite evitar inspecção do tipo de MIME, ou, noutras palavras, é uma de dizer que os webmasters sabem o que estão a fazer.

Este cabeçalho foi introduzido pela Microsoft no IE 8 como uma maneira de os webmasters bloquearem a inspecção de conteúdo que acontecia e podia transformar tipos MIME não executáveis em tipos de MIME executáveis. Desde então, outros browsers também o introduziram, mesmo que os seus algoritmos de inspecção MIME fossem menos agressivos.

Testadores de segurança esperam que este cabeçalho esteja definido.

Nota: nosniff apenas se aplica a "script" e tipos de "style". Aplicando também nosniff a imagens acabou por se tornar incompatível com sites web existentes.

Tipo de Cabeçalho Response header
Forbidden header name no

Sintaxe

X-Content-Type-Options: nosniff

Directivas

nosniff
Bloqueia um pedido se o tipo pedido é
  • "style" e o tipo MIME não é "text/css", ou
  • "script" e o tipo MIME não é do tipo MIME JavaScript.

Especificações

Especificação Estado Comentário
Fetch
The definition of 'X-Content-Type-Options definition' in that specification.
Living Standard Definição inicial

Compatibilidade do Browser

Feature Chrome Edge Firefox Internet Explorer Opera Safari Servo
X-Content-Type-Options1.0(Yes)508.013No support(Yes)
Feature Android Chrome for Android Edge Mobile Firefox for Android IE Mobile Opera Mobile Safari Mobile
X-Content-Type-Options(Yes)(Yes)(Yes)50(Yes)(Yes)No support

Veja também

Etiquetas do documento e contribuidores

 Contribuidores para esta página: tjgfernandes
 Última atualização por: tjgfernandes,