X-Content-Type-Options
Na resposta HTTP o cabeçalho X-Content-Type-Options
é um marcador utilizado pelo servidor para indicar the os tipos de MIME anunciados nos cabeçalhos Content-Type (en-US) não devem ser alterados e seguidos. Isto permite evitar inspecção do tipo de MIME, ou, noutras palavras, é uma de dizer que os webmasters sabem o que estão a fazer.
Este cabeçalho foi introduzido pela Microsoft no IE 8 como uma maneira de os webmasters bloquearem a inspecção de conteúdo que acontecia e podia transformar tipos MIME não executáveis em tipos de MIME executáveis. Desde então, outros browsers também o introduziram, mesmo que os seus algoritmos de inspecção MIME fossem menos agressivos.
Testadores de segurança esperam que este cabeçalho esteja definido.
Nota: nosniff
apenas se aplica a "script
" e tipos de "style
". Aplicando também nosniff
a imagens acabou por se tornar incompatível com sites web existentes.
Tipo de Cabeçalho | Response header |
---|---|
Forbidden header name | no |
Sintaxe
X-Content-Type-Options: nosniff
Directivas
nosniff
- Bloqueia um pedido se o tipo pedido é
- "
style
" e o tipo MIME não é "text/css
", ou - "
script
" e o tipo MIME não é do tipo MIME JavaScript.
- "
Especificações
Especificação | Estado | Comentário |
---|---|---|
Fetch The definition of 'X-Content-Type-Options definition' in that specification. |
Living Standard | Definição inicial |
Compatibilidade do Browser
No compatibility data found for http/headers/x-content-type-options
.
Check for problems with this page or contribute missing data to mdn/browser-compat-data.
A tabela de compatibilidade nesta página é gerada a partir de informação estruturada. Se quiser contribuir para a informação, por favor confira em https://github.com/mdn/browser-compat-data e envie-nos um pedido de pull.
Veja também
- Content-Type (en-US)
- A definição original de X-Content-Type-Options da Microsoft.
- A ferramenta de teste de configuração Mozilla Observatory (incluindo este cabeçalho) de sites web para segurança.