X-Content-Type-Options 标头
HTTP X-Content-Type-Options 响应标头表明,在 Content-Type 标头中声明的 MIME 类型应该被尊重且不应更改。该标头通过指定 MIME 类型是经过有意配置的来帮助你避免 MIME 类型嗅探。
网站安全测试人员通常期望设置此标头。
注意: X-Content-Type-Options 标头仅适用于对 "script" 和 "style" 请求目的地进行请求阻止(由于 nosniff)。
语法
http
X-Content-Type-Options: nosniff
指令
nosniff-
如果请求目的地类型为
style且 MIME 类型不是text/css,或者请求目的地类型为script且 MIME 类型不是 JavaScript MIME 类型,则阻止该请求。
规范
| 规范 |
|---|
| Fetch # x-content-type-options-header |
浏览器兼容性
加载中…
另见
Content-Type- Microsoft 对 X-Content-Type-Options 的原始定义。
- 使用 HTTP Observatory 测试网站的安全配置(包括此标头)。
- Firefox 中缓解 MIME 混淆攻击