X-Content-Type-Options

O header de resposta HTTP X-Content-Type-Options é um marcador usado pelo servidor para indicar que os MIME types enviados pelos headers Content-Type não devem ser alterados e seguidos. Isto permite que o usuário opte por não participar do chamado MIME Type Sniffing ou, em outras palavras, é uma forma de dizer que os webmasters estão vendo o que você está fazendo.

Este header foi incluído pela Microsoft no IE 8 como uma maneira de webmasters serem capazes de bloquear o sniffing de conteúdo que acontecia na época, e podia transformar tipos MIME não executáveis em tipos executáveis. Desde então, outros browsers acataram a ideia mesmo que seus algoritmos de definição de MIME fossem menos agressivos.

Experts em segurança da informação geralmente esperam que este header esteja presente.

Nota: nosniff só se aplica para tipos "script" e "style". Também, aplicar nosniff em tipos de imagem provou-se ser incompatível com sites existentes.

Tipo do header Header de resposta
Alteração de nome proibida não

Sintaxe

X-Content-Type-Options: nosniff

Diretivas

nosniff

Bloqueia uma requisição se o tipo for:

  • "style" e o tipo MIME não é "text/css", ou
  • "script" e o tipo MIME não é um tipo JavaScript.

Especificações

Specification
Fetch Standard
# x-content-type-options-header

Compatibilidade com navegadores

BCD tables only load in the browser

Veja também