X-Content-Type-Options

Der X-Content-Type-Options HTTP-Antwortheader ist ein Marker, der vom Server verwendet wird, um anzugeben, dass die MIME-Typen, die in den Content-Type-Headern angegeben sind, befolgt werden sollen und nicht geändert werden dürfen. Der Header ermöglicht es, MIME-Typ-Sniffing zu vermeiden, indem angegeben wird, dass die MIME-Typen bewusst konfiguriert sind.

Dieser Header wurde von Microsoft in IE 8 eingeführt, um Webmastern die Möglichkeit zu geben, das Sniffing von Inhalten zu blockieren, das ausgeführt wurde und das nicht ausführbare MIME-Typen in ausführbare MIME-Typen umwandeln konnte. Seitdem haben auch andere Browser ihn eingeführt, obwohl ihre MIME-Sniffing-Algorithmen weniger aggressiv waren.

Ab Firefox 72 vermeiden auch Top-Level-Dokumente das MIME-Sniffing (sofern Content-type bereitgestellt wird). Dies kann dazu führen, dass HTML-Webseiten heruntergeladen werden, anstatt gerendert zu werden, wenn sie mit einem anderen MIME-Typ als text/html bereitgestellt werden. Stellen Sie sicher, dass beide Header korrekt eingestellt sind.

In der Regel erwarten Sicherheitstester, dass dieser Header gesetzt ist.

Note: X-Content-Type-Options gilt nur für das Blockieren von Anfragen aufgrund von nosniff für Anfrageziele des Typs "script" und "style". Es aktiviert jedoch auch Cross-Origin Read Blocking (CORB) Schutz für HTML-, TXT-, JSON- und XML-Dateien (ausgenommen SVG image/svg+xml).

Header-Typ Response header
Verbotener Header-Name nein

Syntax

http
X-Content-Type-Options: nosniff

Direktiven

nosniff

Blockiert eine Anfrage, wenn das Anfrageziel vom Typ style ist und der MIME-Typ nicht text/css ist, oder vom Typ script ist und der MIME-Typ kein JavaScript-MIME-Typ ist.

Spezifikationen

Specification
Fetch Standard
# x-content-type-options-header

Browser-Kompatibilität

BCD tables only load in the browser

Browser-spezifische Anmerkungen

  • Firefox 72 aktiviert X-Content-Type-Options: nosniff für Top-Level-Dokumente

Siehe auch