This page was translated from English by the community.Learn more and join the MDN Web Docs community.
X-Content-Type-Options
HTTP-заголовок ответаX-Content-Type-Options является маркером, используемым сервером для указания того, что типы MIME, объявленные в заголовкахContent-Type, должны соблюдаться и не изменяться. Это позволяет отказаться отперехвата MIME, или, другими словами, это способ сказать, что веб-мастера знали, что они делают.
Этот HTTP-заголовок был введён Microsoft в IE 8 как способ для веб-мастеров блокировать происходящий перехват содержимого и может преобразовывать неисполняемые типы MIME в исполняемые типы MIME. С тех пор другие браузеры внедрили его, даже если их алгоритмы обработки MIME были менее агрессивными.
Тестеры безопасности сайта обычно ожидают, что этот заголовок будет установлен.
| Header type | Response header |
|---|---|
| Forbidden header name | no |
Синтаксис
X-Content-Type-Options: nosniff
Директивы
nosniffБлокирует запрос, если запрошенный тип:
- "
style" и его MIME не "text/css", или - "
script" и его MIME неJavaScript MIME-тип.
- "
Спецификации
| Specification |
|---|
| Fetch # x-content-type-options-header |
Совместимость с браузерами
Смотрите также
Content-Type- Первоначальное определение X-Content-Type-Options от Microsoft®.
- ИнструментОбсерватория Mozilla проверяющий конфигурацию (включая этот заголовок) веб-сайтов на безопасность.
- Смягчение MIME путаницы в Firefox
- Блокировка чтения из разных источников (Cross-Origin Read Blocking)
- Google Docs CORB explainer