X-Content-Type-Options

HTTP-заголовок ответа X-Content-Type-Options является маркером, используемым сервером для указания того, что типы MIME, объявленные в заголовках Content-Type, должны соблюдаться и не изменяться. Это позволяет отказаться от перехвата MIME, или, другими словами, это способ сказать, что веб-мастера знали, что они делают.

Этот HTTP-заголовок был введен Microsoft в IE 8 как способ для веб-мастеров блокировать происходящий перехват содержимого и может преобразовывать неисполняемые типы MIME в исполняемые типы MIME. С тех пор другие браузеры внедрили его, даже если их алгоритмы прослушивания MIME были менее агрессивными.

Тестеры безопасности сайта обычно ожидают, что этот заголовок будет установлен.

Примечание: nosniff применяется только к типам "script" и "style". Также применение nosniff к изображениям оказалось несовместимым с существующими веб-сайтами.

Header type Response header
Forbidden header name no

Синтаксис

X-Content-Type-Options: nosniff

Директивы

nosniff
Блокирует запрос, если запрошенный тип:

Спецификации

Спецификация Статус Комментарий
Fetch
Определение 'X-Content-Type-Options definition' в этой спецификации.
Живой стандарт Initial definition

Совместимость с браузерами

BCD tables only load in the browser

Смотрите также