X-Content-Type-Options

Diese Übersetzung ist unvollständig. Bitte helfen Sie uns, diesen Artikel aus dem Englischen zu übersetzen

Der Header X-Content-Type-Option in HTTP-Antworten wird vom Server dazu benutzt, um anzuzeigen, dass MIME-Typen, so wie sie in den Content-Type-Headern angegeben sind, nicht geändert und somit befolgt werden sollen. Damit lässt sich MIME type sniffing ausschließen. Oder anders gesagt: es zeigt, dass die Web-Admins wissen, was sie tun.

Der Header wurde von Microsoft mit dem IE 8 eingeführt, damit Web-Admins die automatische Inhaltserkennung ausschalten können. Die automatische Erkennung konnte dazu führen, dass Inhalt fälschlich als ausführbarer MIME-Typ erkannt wird. Inzwischen haben andere Browser diese Option übernommen, auch wenn deren Erkennungsalgorithmen von vorneherein vorsichtiger waren.

Bei Sicherheits-Audits wird im Allgemeinen erwartet, dass dieser Header gesetzt ist.

Anmerkung: nosniff gilt nur für "script"- und "style"-Typen. Gleichzeitig wird auch Cross-Origin Read Blocking (CORB) für HTML-, TXT-, JSON- und XML- Dateien (ausgenommen SVG bzw. image/svg+xml) aktiviert. Das Anwenden von nosniff bei Bildern erwies sich als inkompatibel zu bestehenden Webseiten.

Art des Headers	Antwort-Header
Unzulässiger Header-Name	Nein

Syntax

X-Content-Type-Options: nosniff

Direktiven

nosniff

Verhindert eine Anfrage, wenn der angeforderte Typ

"style" und der MIME-Typ nicht "text/css" ist, oder
"script" und der MIME-Typ kein JavaScript-MIME-Typ ist.

Aktiviert außerdem Cross-Origin Read Blocking für folgende MIME-Typen:

text/html
text/plain
text/json, application/json und alle anderen MIME-Typen mit JSON-Erweiterung: */*+json
text/xml, application/xml und alle anderen MIME-Typen mit XML-Erweiterung: */*+xml (ausgenommen image/svg+xml)

Spezifikationen

Spezifikation	Status	Anmerkung
Fetch Die Definition von 'X-Content-Type-Options definition' in dieser Spezifikation.	Lebender Standard	Erste Version

Browser-Kompatibilität

Update compatibility data on GitHub

	Desktop						Mobile
	Chrome	Edge	Firefox	Internet Explorer	Opera	Safari	Android Webview	Chrome für Android	Firefox für Android	Opera für Android	Safari auf iOS	Samsung Internet
`X-Content-Type-Options`	Chrome Vollständige Unterstützung 64 Vollständige Unterstützung 64 Teilweise Unterstützung 1 Hinweise Hinweise Not supported for stylesheets.	Edge Vollständige Unterstützung 12	Firefox Vollständige Unterstützung 50	IE Vollständige Unterstützung 8	Opera Vollständige Unterstützung Ja	Safari Vollständige Unterstützung 11	WebView Android Vollständige Unterstützung 64 Vollständige Unterstützung 64 Teilweise Unterstützung Teilweise Hinweise Hinweise Not supported for stylesheets.	Chrome Android Vollständige Unterstützung 64 Vollständige Unterstützung 64 Teilweise Unterstützung Teilweise Hinweise Hinweise Not supported for stylesheets.	Firefox Android Vollständige Unterstützung 50	Opera Android Vollständige Unterstützung Ja	Safari iOS Vollständige Unterstützung 11	Samsung Internet Android Vollständige Unterstützung 9.0 Vollständige Unterstützung 9.0 Teilweise Unterstützung Teilweise Hinweise Hinweise Not supported for stylesheets.

Legende

Vollständige Unterstützung: Vollständige Unterstützung
Siehe Implementierungshinweise.: Siehe Implementierungshinweise.

Siehe auch

Content-Type
Die Original-Definition von X-Content-Type-Options von Microsoft
Das Werkzeug Mozilla Observatory, um die Sicherheit von Webseiten (darunter auch diesen Header) zu prüfen
Mitigating MIME Confusion Attacks in Firefox
Cross-Origin Read Blocking (CORB)
Google Docs CORB explainer

Zuletzt verändert: Sep 14, 2019, von MDN-Mitwirkenden