X-Content-Type-Options

Der Header X-Content-Type-Option in HTTP-Antworten wird vom Server dazu benutzt, um anzuzeigen, dass MIME-Typen, so wie sie in den Content-Type-Headern angegeben sind, nicht geändert und somit befolgt werden sollen. Damit lässt sich MIME type sniffing ausschließen. Oder anders gesagt: es zeigt, dass die Web-Admins wissen, was sie tun.

Der Header wurde von Microsoft mit dem IE 8 eingeführt, damit Web-Admins die automatische Inhaltserkennung ausschalten können. Die automatische Erkennung konnte dazu führen, dass Inhalt fälschlich als ausführbarer MIME-Typ erkannt wird. Inzwischen haben andere Browser diese Option übernommen, auch wenn deren Erkennungsalgorithmen von vorneherein vorsichtiger waren.

Bei Sicherheits-Audits wird im Allgemeinen erwartet, dass dieser Header gesetzt ist.

Anmerkung: nosniff gilt nur für "script"- und "style"-Typen. Gleichzeitig wird auch Cross-Origin Read Blocking (CORB) für HTML-, TXT-, JSON- und XML- Dateien (ausgenommen SVG bzw. image/svg+xml) aktiviert. Das Anwenden von nosniff bei Bildern erwies sich als inkompatibel zu bestehenden Webseiten.

X-Content-Type-Options: nosniff

nosniff

Verhindert eine Anfrage, wenn der angeforderte Typ

• "style" und der MIME-Typ nicht  "text/css" ist, oder
• "script" und der MIME-Typ kein JavaScript-MIME-Typ ist.

Aktiviert außerdem Cross-Origin Read Blocking für folgende MIME-Typen:

• text/html
• text/plain
• text/json, application/json und alle anderen MIME-Typen mit JSON-Erweiterung: */*+json
• text/xml, application/xml und alle anderen MIME-Typen mit XML-Erweiterung: */*+xml (ausgenommen image/svg+xml)

• Firefox 72 schaltet X-Content-Type-Options: nosniff für Dokumente der obersten Ebene frei

• Content-Type
• Die Original-Definition von X-Content-Type-Options von Microsoft
• Das Werkzeug Mozilla Observatory, um die Sicherheit von Webseiten (darunter auch diesen Header) zu prüfen
• Mitigating MIME Confusion Attacks in Firefox
• Cross-Origin Read Blocking (CORB)
• Google Docs CORB explainer