X-Content-Type-Options

L'header X-Content-Type-Options delle risposte HTTP è usato per indicare che il tipo MIME descritto dagli header di tipo Content-Type dovrebbe venire rispettato senza effettuare modifiche. Questo consente di al client di non effettuare lo sniffing del tipo MIME, o, in altre parole, è un modo con cui i webmaster comunicano che "sapevano cosa stessero facendo".

Questo header è stato introdotto da Microsoft con IE8 per consentire ai webmaster di impedire lo sniffing del tipo MIME, che avveniva comunemente, ma che poteva comportare la conversione di un tipo MIME non eseguibile in uno eseguibile. Da allora altri browser hanno iniziato a supportarlo, nonostante i loro algoritmi di sniffing siano meno aggressivi rispetto al passato.

I tester della sicurezza dei siti solitamente si aspettano di trovare questo header.

Nota: X-Content-Type-Options causa il blocco di una richiesta se il suo valore è nosniff solo per richieste con destinazione di tipo "script" o "style". Tale header causa anche It also l'attivazione del Cross-Origin Read Blocking (CORB) per file di tipo HTML, TXT, JSON e XML ( i file SVG image/svg+xml sono esclusi).

X-Content-Type-Options: nosniff

nosniff

Blocca la richiesta, se è di tipo:

• "style" e il tipo MIME non è text/css;
• "script" e il tipo MIME non appartiene ai tipi MIME JavaScript MIME.

Abilita il Cross-Origin Read Blockingper i seguenti tipi MIME:

• text/html
• text/plain
• text/json, application/json o qualunque altro tipo avente estensione simile a  */*+json
• text/xml, application/xml o qualunque altro tipo avente estensione simile a  */*+xml ( image/svg+xml esclusa).

• Content-Type
• La definizione originale dell'X-Content-Type-Options di Microsoft.
• Lo strumento del Mozilla Observatory per controllare la configurazione (compreso questo header) dei siti in merito alla sicurezza
• Mitigare gli attacchi di tipo MIME Confusion Attacks in Firefox
• Cross-Origin Read Blocking (CORB)
• Spiegazione del CORB nei Google Docs