X-Content-Type-Options 標頭
HTTP X-Content-Type-Options 響應標頭表明,在 Content-Type 標頭中宣告的 MIME 型別應該被尊重且不應更改。該標頭透過指定 MIME 型別是經過有意配置的來幫助你避免 MIME 型別嗅探。
網站安全測試人員通常期望設定此標頭。
注意: X-Content-Type-Options 標頭僅適用於對 "script" 和 "style" 請求目的地進行請求阻止(由於 nosniff)。
語法
http
X-Content-Type-Options: nosniff
指令
nosniff-
如果請求目的地型別為
style且 MIME 型別不是text/css,或者請求目的地型別為script且 MIME 型別不是 JavaScript MIME 型別,則阻止該請求。
規範
| 規範 |
|---|
| Fetch # x-content-type-options-header |
瀏覽器相容性
載入中…
另見
Content-Type- Microsoft 對 X-Content-Type-Options 的原始定義。
- 使用 HTTP Observatory 測試網站的安全配置(包括此標頭)。
- Firefox 中緩解 MIME 混淆攻擊