X-Content-Type-Options

L'header X-Content-Type-Options delle risposte HTTP è usato per indicare che il tipo MIME descritto dagli header di tipo Content-Type dovrebbe venire rispettato senza effettuare modifiche. Questo consente di al client di non effettuare lo sniffing del tipo MIME, o, in altre parole, è un modo con cui i webmaster comunicano che "sapevano cosa stessero facendo".

Questo header è stato introdotto da Microsoft con IE8 per consentire ai webmaster di impedire lo sniffing del tipo MIME, che avveniva comunemente, ma che poteva comportare la conversione di un tipo MIME non eseguibile in uno eseguibile. Da allora altri browser hanno iniziato a supportarlo, nonostante i loro algoritmi di sniffing siano meno aggressivi rispetto al passato.

I tester della sicurezza dei siti solitamente si aspettano di trovare questo header.

Nota: X-Content-Type-Options causa il blocco di una richiesta se il suo valore è nosniff solo per richieste con destinazione di tipo "script" o "style". Tale header causa anche It also l'attivazione del Cross-Origin Read Blocking (CORB) per file di tipo HTML, TXT, JSON e XML ( i file SVG image/svg+xml sono esclusi).

Tipo Header	Response header
Forbidden header name	no

Sintassi

X-Content-Type-Options: nosniff

Direttive

nosniff

Blocca la richiesta, se è di tipo:

"style" e il tipo MIME non è text/css;
"script" e il tipo MIME non appartiene ai tipi MIME JavaScript MIME.

Abilita il Cross-Origin Read Blockingper i seguenti tipi MIME:

text/html
text/plain
text/json, application/json o qualunque altro tipo avente estensione simile a */*+json
text/xml, application/xml o qualunque altro tipo avente estensione simile a */*+xml ( image/svg+xml esclusa).

Specifiche

Specification	Status	Comment
Fetch The definition of 'X-Content-Type-Options definition' in that specification.	Living Standard	Initial definition

Browser compatibility

Update compatibility data on GitHub

	Desktop						Mobile
	Chrome	Edge	Firefox	Internet Explorer	Opera	Safari	Android webview	Chrome for Android	Firefox for Android	Opera for Android	Safari on iOS	Samsung Internet
`X-Content-Type-Options` Non-standard	Chrome Full support 64 Full support 64 Partial support 1 Notes Notes Not supported for stylesheets.	Edge Full support Yes	Firefox Full support 50	IE Full support 8	Opera Full support Yes	Safari No support No	WebView Android Full support 64 Full support 64 Partial support Partial Notes Notes Not supported for stylesheets.	Chrome Android Full support 64 Full support 64 Partial support Partial Notes Notes Not supported for stylesheets.	Firefox Android Full support 50	Opera Android Full support Yes	Safari iOS No support No	Samsung Internet Android Full support Yes

Legend

Full support: Full support
No support: No support
Non-standard. Expect poor cross-browser support.: Non-standard. Expect poor cross-browser support.
See implementation notes.: See implementation notes.

Vedi anche

Content-Type
La definizione originale dell'X-Content-Type-Options di Microsoft.
Lo strumento del Mozilla Observatory per controllare la configurazione (compreso questo header) dei siti in merito alla sicurezza
Mitigare gli attacchi di tipo MIME Confusion Attacks in Firefox
Cross-Origin Read Blocking (CORB)
Spiegazione del CORB nei Google Docs