X-Content-Type-Options
X-Content-Type-Options
的X-Content-Type-Options响应的 HTTP 标头是由服务器使用以指示在通告的 MIME 类型的标记Content-Type标头不应该被改变,并且被遵循。这允许选择不使用 MIME 类型的嗅探,换句话说,它可以说网站管理员知道他们在做什么。
微软在 IE 8 中引入了这个头文件,作为网站管理员阻止正在发生的内容嗅探的一种方式,并且可以将不可执行的 MIME 类型转换为可执行的 MIME 类型。从那以后,其他浏览器已经引入了它,即使他们的 MIME 嗅探算法不那么激进。
网站安全测试人员通常希望设置该标题。
注意:nosniff仅适用于“ script”和“ style”类型。同样适用nosniff于图像原来与现有的网站不兼容。
| Header type | Response header |
|---|---|
| Forbidden header name | no |
句法
X-Content-Type-Options: nosniff
指令
nosniff阻止请求,如果请求的类型是
- “
style”,而 MIME 类型不是“text/css”,或者
- “
script”,而 MIME 类型不是 JavaScript MIME 类型。
产品规格
| Specification | Status | Comment |
|---|---|---|
| FetchThe definition of 'X-Content-Type-Options definition' in that specification. | Living Standard | Initial definition |
浏览器兼容性
| Feature | Chrome | Edge | Firefox | Internet Explorer | Opera | Safari |
|---|---|---|---|---|---|---|
| Basic Support | 1.0 | (Yes) | 50 | 8.0 | 13 | No |
| Feature | Android | Chrome for Android | Edge mobile | Firefox for Android | IE mobile | Opera Android | iOS Safari |
|---|---|---|---|---|---|---|---|
| Basic Support | (Yes) | (Yes) | (Yes) | 50 | (Yes) | (Yes) | No |
