X-Content-Type-Options

Der Header X-Content-Type-Option in HTTP-Antworten wird vom Server dazu benutzt, um anzuzeigen, dass MIME-Typen, so wie sie in den Content-Type-Headern angegeben sind, nicht geändert und somit befolgt werden sollen. Damit lässt sich MIME type sniffing ausschließen. Oder anders gesagt: es zeigt, dass die Web-Admins wissen, was sie tun.

Der Header wurde von Microsoft mit dem IE 8 eingeführt, damit Web-Admins die automatische Inhaltserkennung ausschalten können. Die automatische Erkennung konnte dazu führen, dass Inhalt fälschlich als ausführbarer MIME-Typ erkannt wird. Inzwischen haben andere Browser diese Option übernommen, auch wenn deren Erkennungsalgorithmen von vorneherein vorsichtiger waren.

Bei Sicherheits-Audits wird im Allgemeinen erwartet, dass dieser Header gesetzt ist.

Anmerkung: nosniff gilt nur für "script"- und "style"-Typen. Gleichzeitig wird auch Cross-Origin Read Blocking (CORB) für HTML-, TXT-, JSON- und XML- Dateien (ausgenommen SVG bzw. image/svg+xml) aktiviert. Das Anwenden von nosniff bei Bildern erwies sich als inkompatibel zu bestehenden Webseiten.

Art des Headers Antwort-Header
Unzulässiger Header-Name Nein

Syntax

X-Content-Type-Options: nosniff

Direktiven

nosniff
Verhindert eine Anfrage, wenn der angeforderte Typ
  • "style" und der MIME-Typ nicht  "text/css" ist, oder
  • "script" und der MIME-Typ kein JavaScript-MIME-Typ ist.

Aktiviert außerdem Cross-Origin Read Blocking für folgende MIME-Typen:

  • text/html
  • text/plain
  • text/json, application/json und alle anderen MIME-Typen mit JSON-Erweiterung: */*+json
  • text/xml, application/xml und alle anderen MIME-Typen mit XML-Erweiterung: */*+xml (ausgenommen image/svg+xml)

Spezifikationen

Spezifikation Status Anmerkung
Fetch
Die Definition von 'X-Content-Type-Options definition' in dieser Spezifikation.		 Lebender Standard Erste Version

Browser-Kompatibilität

Update compatibility data on GitHub
DesktopMobile
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid WebviewChrome für AndroidFirefox für AndroidOpera für AndroidSafari auf iOSSamsung Internet
X-Content-Type-Options
Nicht standardisiert
Chrome Vollständige Unterstützung 64
Vollständige Unterstützung 64
Teilweise Unterstützung 1
Hinweise
Hinweise Not supported for stylesheets.
Edge Vollständige Unterstützung JaFirefox Vollständige Unterstützung 50IE Vollständige Unterstützung 8Opera Vollständige Unterstützung JaSafari Keine Unterstützung NeinWebView Android Vollständige Unterstützung 64
Vollständige Unterstützung 64
Teilweise Unterstützung Teilweise
Hinweise
Hinweise Not supported for stylesheets.
Chrome Android Vollständige Unterstützung 64
Vollständige Unterstützung 64
Teilweise Unterstützung Teilweise
Hinweise
Hinweise Not supported for stylesheets.
Firefox Android Vollständige Unterstützung 50Opera Android Vollständige Unterstützung JaSafari iOS Keine Unterstützung NeinSamsung Internet Android Vollständige Unterstützung Ja

Legende

Vollständige Unterstützung  
Vollständige Unterstützung
Keine Unterstützung  
Keine Unterstützung
Nicht standardisiert. Erwarte schlechte browserübergreifende Unterstützung.
Nicht standardisiert. Erwarte schlechte browserübergreifende Unterstützung.
Siehe Implementierungshinweise.
Siehe Implementierungshinweise.

Siehe auch

Zuletzt verändert:

, by MDN contributors
Verwandte Themen
  1. HTTP
  2. Guides:
  3. Resources and URIs
    1. Identifying resources on the Web
    2. Data URIs
    3. Introduction to MIME Types
    4. Complete list of MIME Types
    5. Choosing between www and non-www URLs
  4. HTTP guide
    1. Basics of HTTP
    2. Overview of HTTP
    3. Evolution of HTTP
    4. HTTP Messages
    5. A typical HTTP session
    6. Connection management in HTTP/1.x
    7. Protocol upgrade mechanism
  5. HTTP security
    1. Content Security Policy (CSP)
    2. HTTP Public Key Pinning (HPKP)
    3. HTTP Strict Transport Security (HSTS)
    4. Cookie security
    5. X-Content-Type-Options
    6. X-Frame-Options
    7. X-XSS-Protection
    8. Mozilla web security guidelines
    9. Mozilla Observatory
  6. HTTP access control (CORS)
  7. HTTP authentication
  8. HTTP caching
  9. HTTP compression
  10. HTTP conditional requests
  11. HTTP content negotiation
  12. HTTP cookies
  13. HTTP range requests
  14. HTTP redirects
  15. HTTP specifications
  16. Feature policy
  17. References:
  18. HTTP headers
    1. Accept [Übersetzen]
    2. Accept-Charset [Übersetzen]
    3. Accept-Encoding [Übersetzen]
    4. Accept-Language [Übersetzen]
    5. Accept-Patch [Übersetzen]
    6. Accept-Ranges [Übersetzen]
    7. Access-Control-Allow-Credentials [Übersetzen]
    8. Access-Control-Allow-Headers [Übersetzen]
    9. Access-Control-Allow-Methods [Übersetzen]
    10. Access-Control-Allow-Origin [Übersetzen]
    11. Access-Control-Expose-Headers [Übersetzen]
    12. Access-Control-Max-Age [Übersetzen]
    13. Access-Control-Request-Headers [Übersetzen]
    14. Access-Control-Request-Method [Übersetzen]
    15. Age
    16. Allow [Übersetzen]
    17. Alt-Svc [Übersetzen]
    18. Authorization [Übersetzen]
    19. Cache-Control
    20. Clear-Site-Data [Übersetzen]
    21. Connection [Übersetzen]
    22. Content-Disposition [Übersetzen]
    23. Content-Encoding [Übersetzen]
    24. Content-Language [Übersetzen]
    25. Content-Length [Übersetzen]
    26. Content-Location [Übersetzen]
    27. Content-Range [Übersetzen]
    28. Content-Security-Policy [Übersetzen]
    29. Content-Security-Policy-Report-Only [Übersetzen]
    30. Content-Type [Übersetzen]
    31. Cookie
    32. Cookie2 [Übersetzen]
    33. Cross-Origin-Resource-Policy [Übersetzen]
    34. DNT
    35. Date [Übersetzen]
    36. Digest [Übersetzen]
    37. ETag [Übersetzen]
    38. Early-Data [Übersetzen]
    39. Expect [Übersetzen]
    40. Expect-CT [Übersetzen]
    41. Expires
    42. Feature-Policy [Übersetzen]
    43. Forwarded [Übersetzen]
    44. From [Übersetzen]
    45. Host [Übersetzen]
    46. If-Match [Übersetzen]
    47. If-Modified-Since [Übersetzen]
    48. If-None-Match [Übersetzen]
    49. If-Range [Übersetzen]
    50. If-Unmodified-Since [Übersetzen]
    51. Index [Übersetzen]
    52. Keep-Alive [Übersetzen]
    53. Large-Allocation [Übersetzen]
    54. Last-Modified [Übersetzen]
    55. Link [Übersetzen]
    56. Location [Übersetzen]
    57. Origin [Übersetzen]
    58. Pragma [Übersetzen]
    59. Proxy-Authenticate [Übersetzen]
    60. Proxy-Authorization [Übersetzen]
    61. Public-Key-Pins [Übersetzen]
    62. Public-Key-Pins-Report-Only [Übersetzen]
    63. Range [Übersetzen]
    64. Referer
    65. Referrer-Policy [Übersetzen]
    66. Retry-After [Übersetzen]
    67. Save-Data [Übersetzen]
    68. Sec-WebSocket-Accept [Übersetzen]
    69. Server
    70. Server-Timing [Übersetzen]
    71. Set-Cookie [Übersetzen]
    72. Set-Cookie2 [Übersetzen]
    73. SourceMap [Übersetzen]
    74. Strict-Transport-Security [Übersetzen]
    75. TE [Übersetzen]
    76. Timing-Allow-Origin [Übersetzen]
    77. Tk
    78. Trailer [Übersetzen]
    79. Transfer-Encoding [Übersetzen]
    80. Upgrade-Insecure-Requests [Übersetzen]
    81. User-Agent
    82. Vary [Übersetzen]
    83. Via [Übersetzen]
    84. WWW-Authenticate [Übersetzen]
    85. Want-Digest [Übersetzen]
    86. Warning [Übersetzen]
    87. X-Content-Type-Options
    88. X-DNS-Prefetch-Control [Übersetzen]
    89. X-Forwarded-For [Übersetzen]
    90. X-Forwarded-Host [Übersetzen]
    91. X-Forwarded-Proto [Übersetzen]
    92. X-Frame-Options
    93. X-XSS-Protection [Übersetzen]
  19. HTTP request methods
    1. CONNECT
    2. DELETE
    3. GET [Übersetzen]
    4. HEAD [Übersetzen]
    5. OPTIONS [Übersetzen]
    6. PATCH [Übersetzen]
    7. POST [Übersetzen]
    8. PUT [Übersetzen]
    9. TRACE [Übersetzen]
  20. HTTP response status codes
    1. 100 Continue
    2. 101 Switching Protocols [Übersetzen]
    3. 103 Early Hints [Übersetzen]
    4. 200 OK
    5. 201 Created [Übersetzen]
    6. 202 Accepted [Übersetzen]
    7. 203 Non-Authoritative Information [Übersetzen]
    8. 204 No Content [Übersetzen]
    9. 205 Reset Content [Übersetzen]
    10. 206 Partial Content [Übersetzen]
    11. 300 Multiple Choices [Übersetzen]
    12. 301 Moved Permanently [Übersetzen]
    13. 302 Found
    14. 303 See Other [Übersetzen]
    15. 304 Not Modified
    16. 307 Temporary Redirect [Übersetzen]
    17. 308 Permanent Redirect [Übersetzen]
    18. 400 Bad Request
    19. 401 Unauthorized
    20. 402 Payment Required
    21. 403 Forbidden
    22. 404 Not Found
    23. 405 Method Not Allowed [Übersetzen]
    24. 406 Not Acceptable [Übersetzen]
    25. 407 Proxy Authentication Required [Übersetzen]
    26. 408 Request Timeout [Übersetzen]
    27. 409 Conflict
    28. 410 Gone
    29. 411 Length Required [Übersetzen]
    30. 412 Precondition Failed [Übersetzen]
    31. 413 Payload Too Large [Übersetzen]
    32. 414 URI Too Long
    33. 415 Unsupported Media Type [Übersetzen]
    34. 416 Range Not Satisfiable [Übersetzen]
    35. 417 Expectation Failed [Übersetzen]
    36. 418 I'm a teapot
    37. 422 Unprocessable Entity [Übersetzen]
    38. 425 Too Early [Übersetzen]
    39. 426 Upgrade Required [Übersetzen]
    40. 428 Precondition Required [Übersetzen]
    41. 429 Too Many Requests [Übersetzen]
    42. 431 Request Header Fields Too Large [Übersetzen]
    43. 451 Unavailable For Legal Reasons [Übersetzen]
    44. 500 Internal Server Error
    45. 501 Not Implemented [Übersetzen]
    46. 502 Bad Gateway [Übersetzen]
    47. 503 Service Unavailable
    48. 504 Gateway Timeout
    49. 505 HTTP Version Not Supported
    50. 506 Variant Also Negotiates [Übersetzen]
    51. 507 Insufficient Storage [Übersetzen]
    52. 508 Loop Detected [Übersetzen]
    53. 511 Network Authentication Required
  21. CSP directives
    1. CSP: base-uri [Übersetzen]
    2. CSP: block-all-mixed-content [Übersetzen]
    3. CSP: child-src [Übersetzen]
    4. CSP: connect-src [Übersetzen]
    5. CSP: default-src [Übersetzen]
    6. CSP: font-src [Übersetzen]
    7. CSP: form-action [Übersetzen]
    8. CSP: frame-ancestors [Übersetzen]
    9. CSP: frame-src [Übersetzen]
    10. CSP: img-src [Übersetzen]
    11. CSP: manifest-src [Übersetzen]
    12. CSP: media-src [Übersetzen]
    13. CSP: navigate-to [Übersetzen]
    14. CSP: object-src [Übersetzen]
    15. CSP: plugin-types [Übersetzen]
    16. CSP: prefetch-src [Übersetzen]
    17. CSP: referrer [Übersetzen]
    18. CSP: report-to [Übersetzen]
    19. CSP: report-uri [Übersetzen]
    20. CSP: require-sri-for [Übersetzen]
    21. CSP: sandbox [Übersetzen]
    22. CSP: script-src [Übersetzen]
    23. CSP: script-src-attr [Übersetzen]
    24. CSP: script-src-elem [Übersetzen]
    25. CSP: style-src [Übersetzen]
    26. CSP: style-src-attr [Übersetzen]
    27. CSP: style-src-elem [Übersetzen]
    28. CSP: trusted-types [Übersetzen]
    29. CSP: upgrade-insecure-requests [Übersetzen]
    30. CSP: worker-src [Übersetzen]
  22. CORS errors
    1. Reason: CORS disabled [Übersetzen]
    2. Reason: CORS header 'Access-Control-Allow-Origin' does not match 'xyz' [Übersetzen]
    3. Grund: CORS header 'AccessGrund: CORS-Kopfzeile 'Access-Control-Allow-Origin' fehlt
    4. Reason: CORS header ‘Origin’ cannot be added [Übersetzen]
    5. Reason: CORS preflight channel did not succeed [Übersetzen]
    6. Reason: CORS request did not succeed
    7. Reason: CORS request external redirect not allowed [Übersetzen]
    8. Ursache: CORS Anfrage nicht HTTP
    9. Reason: Credential is not supported if the CORS header ‘Access-Control-Allow-Origin’ is ‘*’ [Übersetzen]
    10. Reason: Did not find method in CORS header ‘Access-Control-Allow-Methods’ [Übersetzen]
    11. Reason: Multiple CORS header 'Access-Control-Allow-Origin' not allowed [Übersetzen]
    12. Reason: expected ‘true’ in CORS header ‘Access-Control-Allow-Credentials’ [Übersetzen]
    13. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ [Übersetzen]
    14. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Methods’ [Übersetzen]
    15. Reason: missing token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ from CORS preflight channel [Übersetzen]
  23. Feature-Policy directives
    1. Feature-Policy: accelerometer [Übersetzen]
    2. Feature-Policy: ambient-light-sensor [Übersetzen]
    3. Feature-Policy: autoplay [Übersetzen]
    4. Feature-Policy: camera [Übersetzen]
    5. Feature-Policy: display-capture [Übersetzen]
    6. Feature-Policy: document-domain [Übersetzen]
    7. Feature-Policy: encrypted-media [Übersetzen]
    8. Feature-Policy: fullscreen [Übersetzen]
    9. Feature-Policy: geolocation [Übersetzen]
    10. Feature-Policy: gyroscope [Übersetzen]
    11. Feature-Policy: layout-animations [Übersetzen]
    12. Feature-Policy: legacy-image-formats [Übersetzen]
    13. Feature-Policy: magnetometer [Übersetzen]
    14. Feature-Policy: microphone [Übersetzen]
    15. Feature-Policy: midi [Übersetzen]
    16. Feature-Policy: oversized-images [Übersetzen]
    17. Feature-Policy: payment [Übersetzen]
    18. Feature-Policy: picture-in-picture [Übersetzen]
    19. Feature-Policy: speaker [Übersetzen]
    20. Feature-Policy: sync-xhr [Übersetzen]
    21. Feature-Policy: unoptimized-images [Übersetzen]
    22. Feature-Policy: unsized-media [Übersetzen]
    23. Feature-Policy: usb [Übersetzen]
    24. Feature-Policy: vibrate [Übersetzen]
    25. Feature-Policy: vr [Übersetzen]
    26. Feature-Policy: wake-lock [Übersetzen]
    27. Feature-Policy: webauthn [Übersetzen]
    28. Feature-Policy: xr [Übersetzen]