L'header X-Content-Type-Options
delle risposte HTTP è usato per indicare che il tipo MIME descritto dagli header di tipo Content-Type
dovrebbe venire rispettato senza effettuare modifiche. Questo consente di al client di non effettuare lo sniffing del tipo MIME, o, in altre parole, è un modo con cui i webmaster comunicano che "sapevano cosa stessero facendo".
Questo header è stato introdotto da Microsoft con IE8 per consentire ai webmaster di impedire lo sniffing del tipo MIME, che avveniva comunemente, ma che poteva comportare la conversione di un tipo MIME non eseguibile in uno eseguibile. Da allora altri browser hanno iniziato a supportarlo, nonostante i loro algoritmi di sniffing siano meno aggressivi rispetto al passato.
I tester della sicurezza dei siti solitamente si aspettano di trovare questo header.
Nota: X-Content-Type-Options
causa il blocco di una richiesta se il suo valore è nosniff
solo per richieste con destinazione di tipo "script
" o "style
". Tale header causa anche It also l'attivazione del Cross-Origin Read Blocking (CORB) per file di tipo HTML, TXT, JSON e XML ( i file SVG image/svg+xml
sono esclusi).
Tipo Header | Response header |
---|---|
Forbidden header name | no |
Sintassi
X-Content-Type-Options: nosniff
Direttive
nosniff
- Blocca la richiesta, se è di tipo:
- "
style
" e il tipo MIME non ètext/css
; - "
script
" e il tipo MIME non appartiene ai tipi MIME JavaScript MIME.
- "
- Abilita il Cross-Origin Read Blockingper i seguenti tipi MIME:
text/html
text/plain
text/json
,application/json
o qualunque altro tipo avente estensione simile a*/*+json
text/xml
,application/xml
o qualunque altro tipo avente estensione simile a*/*+xml
(image/svg+xml
esclusa).
Specifiche
Specification | Status | Comment |
---|---|---|
Fetch The definition of 'X-Content-Type-Options definition' in that specification. |
Living Standard | Initial definition |
Browser compatibility
BCD tables only load in the browser
Vedi anche
Content-Type
- La definizione originale dell'X-Content-Type-Options di Microsoft.
- Lo strumento del Mozilla Observatory per controllare la configurazione (compreso questo header) dei siti in merito alla sicurezza
- Mitigare gli attacchi di tipo MIME Confusion Attacks in Firefox
- Cross-Origin Read Blocking (CORB)
- Spiegazione del CORB nei Google Docs