X-Content-Type-Options
X-Content-Type-Options 响应 HTTP 头部是服务器用来指示在 MIME 类型中通告的 Content-Type 头部应该被遵循,而不是被更改的标记。该头部允许您避免 MIME 类型嗅探,方法是声明 MIME 类型是经过故意配置的。
此头部由微软在 IE 8 中引入,作为一种方法让网站管理员阻止正在发生的并且可能将不可执行的 MIME 类型转换为可执行 MIME 类型的 MIME 类型嗅探。从那时起,其他浏览器也引入了它,即使它们的 MIME 类型嗅探算法不那么激进。
从 Firefox 72 开始,顶级文档也避免 MIME 类型嗅探(如果提供了 Content-type)。当它们使用除 text/html 之外的 MIME 类型提供服务时,这可能会导致 HTML 网页被下载而不是被呈现。确保正确设置这两个头部。
站点安全测试人员通常期望设置此头部。
注意:X-Content-Type-Options 仅应用于由于 nosniff 而导致的请求阻止 请求阻止,用于 "script" 和 "style" 的 请求目标。但是,它还 启用跨源读取阻止 (CORB) 以保护 HTML、TXT、JSON 和 XML 文件(不包括 SVG image/svg+xml)。
语法
http
X-Content-Type-Options: nosniff
指令
nosniff-
如果请求目标类型为
style且 MIME 类型不是text/css,或者请求目标类型为script且 MIME 类型不是 JavaScript MIME 类型,则阻止请求。
规范
| 规范 |
|---|
| 获取标准 # x-content-type-options-header |
浏览器兼容性
BCD 表格仅在启用 JavaScript 的浏览器中加载。
浏览器特定说明
- Firefox 72 为顶级文档启用
X-Content-Type-Options: nosniff
另请参阅
Content-Type- 微软对 X-Content-Type-Options 的 原始定义。
- 使用 HTTP 观察站 测试网站的安全配置(包括此头部)。
- 在 Firefox 中缓解 MIME 混淆攻击
- 跨源读取阻止 (CORB)
- Google 文档 CORB 说明