Na resposta HTTP o cabeçalho X-Content-Type-Options é um marcador utilizado pelo servidor para indicar the os tipos de MIME anunciados nos cabeçalhos Content-Type não devem ser alterados e seguidos. Isto permite evitar inspecção do tipo de MIME, ou, noutras palavras, é uma de dizer que os webmasters sabem o que estão a fazer.
Este cabeçalho foi introduzido pela Microsoft no IE 8 como uma maneira de os webmasters bloquearem a inspecção de conteúdo que acontecia e podia transformar tipos MIME não executáveis em tipos de MIME executáveis. Desde então, outros browsers também o introduziram, mesmo que os seus algoritmos de inspecção MIME fossem menos agressivos.
Testadores de segurança esperam que este cabeçalho esteja definido.
Nota: nosniff apenas se aplica a "script" e tipos de "style". Aplicando também nosniff a imagens acabou por se tornar incompatível com sites web existentes.
| Tipo de Cabeçalho | Response header |
|---|---|
| Forbidden header name | no |
Sintaxe
X-Content-Type-Options: nosniff
Directivas
nosniff- Bloqueia um pedido se o tipo pedido é
- "
style" e o tipo MIME não é "text/css", ou - "
script" e o tipo MIME não é do tipo MIME JavaScript.
- "
Especificações
| Especificação | Estado | Comentário |
|---|---|---|
| Fetch The definition of 'X-Content-Type-Options definition' in that specification. |
Living Standard | Definição inicial |
Compatibilidade do Browser
A tabela de compatibilidade nesta página é gerada a partir de informação estruturada. Se quiser contribuir para a informação, por favor confira em https://github.com/mdn/browser-compat-data e envie-nos um pedido de pull.
No compatibility data found. Please contribute data for "http/headers/x-content-type-options" (depth: 1) to the MDN compatibility data repository.
Veja também
Content-Type- A definição original de X-Content-Type-Options da Microsoft.
- A ferramenta de teste de configuração Mozilla Observatory (incluindo este cabeçalho) de sites web para segurança.