X-Content-Type-Options
Der HTTP X-Content-Type-Options Response-Header gibt an, dass die im Content-Type-Header beworbenen MIME-Typen respektiert und nicht geändert werden sollten. Der Header erlaubt es Ihnen, MIME-Typ-Sniffing zu vermeiden, indem festgelegt wird, dass die MIME-Typen bewusst konfiguriert sind.
Sicherheitsprüfer von Webseiten erwarten in der Regel, dass dieser Header gesetzt ist.
Hinweis:
Der X-Content-Type-Options-Header wendet das Blockieren von Anfragen nur aufgrund von nosniff für Request-Ziele der Typen "script" und "style" an.
Er ermöglicht jedoch auch den Cross-Origin Read Blocking (CORB)-Schutz für HTML-, TXT-, JSON- und XML-Dateien (mit Ausnahme von SVG image/svg+xml).
| Header-Typ | Response-Header |
|---|---|
| Verbotener Header-Name | Nein |
Syntax
X-Content-Type-Options: nosniff
Direktiven
nosniff-
Blockiert eine Anfrage, wenn das Request-Ziel vom Typ
styleist und der MIME-Typ nichttext/cssist, oder vom Typscriptist und der MIME-Typ kein JavaScript-MIME-Typ ist.
Spezifikationen
| Specification |
|---|
| Fetch Standard # x-content-type-options-header |
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
Content-Type- Die ursprüngliche Definition von X-Content-Type-Options durch Microsoft.
- Nutzen Sie HTTP Observatory, um die Sicherheitskonfiguration von Websites (einschließlich dieses Headers) zu testen.
- Minderung von MIME-Verwirrungsangriffen in Firefox
- Cross-Origin Read Blocking (CORB)
- Google Docs CORB-Erklärung