X-Content-Type-Options
HTTP-заголовок ответа X-Content-Type-Options является маркером, используемым сервером для указания того, что типы MIME, объявленные в заголовках Content-Type, должны соблюдаться и не изменяться. Это позволяет отказаться от перехвата MIME, или, другими словами, это способ сказать, что веб-мастера знали, что они делают.
Этот HTTP-заголовок был введён Microsoft в IE 8 как способ для веб-мастеров блокировать происходящий перехват содержимого и может преобразовывать неисполняемые типы MIME в исполняемые типы MIME. С тех пор другие браузеры внедрили его, даже если их алгоритмы обработки MIME были менее агрессивными.
Тестеры безопасности сайта обычно ожидают, что этот заголовок будет установлен.
| Header type | Response header |
|---|---|
| Forbidden header name | no |
Синтаксис
X-Content-Type-Options: nosniff
Директивы
nosniff-
Блокирует запрос, если запрошенный тип:
- "
style" и его MIME не "text/css", или - "
script" и его MIME не JavaScript MIME-тип.
- "
Спецификации
| Specification |
|---|
| Fetch Standard # x-content-type-options-header |
Совместимость с браузерами
BCD tables only load in the browser
Смотрите также
Content-Type- Первоначальное определение X-Content-Type-Options от Microsoft®.
- Инструмент Обсерватория Mozilla проверяющий конфигурацию (включая этот заголовок) веб-сайтов на безопасность.
- Смягчение MIME путаницы в Firefox
- Блокировка чтения из разных источников (Cross-Origin Read Blocking)
- Google Docs CORB explainer