X-Content-Type-Options
X-Content-Type-Options 響應 HTTP 頭部是伺服器用來指示在 MIME 型別中通告的 Content-Type 頭部應該被遵循,而不是被更改的標記。該頭部允許您避免 MIME 型別嗅探,方法是宣告 MIME 型別是經過故意配置的。
此頭部由微軟在 IE 8 中引入,作為一種方法讓網站管理員阻止正在發生的並且可能將不可執行的 MIME 型別轉換為可執行 MIME 型別的 MIME 型別嗅探。從那時起,其他瀏覽器也引入了它,即使它們的 MIME 型別嗅探演算法不那麼激進。
從 Firefox 72 開始,頂級文件也避免 MIME 型別嗅探(如果提供了 Content-type)。當它們使用除 text/html 之外的 MIME 型別提供服務時,這可能會導致 HTML 網頁被下載而不是被呈現。確保正確設定這兩個頭部。
站點安全測試人員通常期望設定此頭部。
注意:X-Content-Type-Options 僅應用於由於 nosniff 而導致的請求阻止 請求阻止,用於 "script" 和 "style" 的 請求目標。但是,它還 啟用跨源讀取阻止 (CORB) 以保護 HTML、TXT、JSON 和 XML 檔案(不包括 SVG image/svg+xml)。
語法
http
X-Content-Type-Options: nosniff
指令
nosniff-
如果請求目標型別為
style且 MIME 型別不是text/css,或者請求目標型別為script且 MIME 型別不是 JavaScript MIME 型別,則阻止請求。
規範
| 規範 |
|---|
| 獲取標準 # x-content-type-options-header |
瀏覽器相容性
BCD 表格僅在啟用 JavaScript 的瀏覽器中載入。
瀏覽器特定說明
- Firefox 72 為頂級文件啟用
X-Content-Type-Options: nosniff
另請參閱
Content-Type- 微軟對 X-Content-Type-Options 的 原始定義。
- 使用 HTTP 觀察站 測試網站的安全配置(包括此頭部)。
- 在 Firefox 中緩解 MIME 混淆攻擊
- 跨源讀取阻止 (CORB)
- Google 文件 CORB 說明