©
本文檔使用 php中文網手册 發布
的X-Content-Type-Options
响应的 HTTP 标头是由服务器使用以指示在通告的 MIME 类型的标记Content-Type
标头不应该被改变,并且被遵循。这允许选择不使用 MIME 类型的嗅探,换句话说,它可以说网站管理员知道他们在做什么。
微软在 IE 8 中引入了这个头文件,作为网站管理员阻止正在发生的内容嗅探的一种方式,并且可以将不可执行的 MIME 类型转换为可执行的 MIME 类型。从那以后,其他浏览器已经引入了它,即使他们的 MIME 嗅探算法不那么激进。
网站安全测试人员通常希望设置该标题。
注意:nosniff
仅适用于“ script
”和“ style
”类型。同样适用nosniff
于图像原来与现有的网站不兼容。
Header type | Response header |
---|---|
Forbidden header name | no |
X-Content-Type-Options: nosniff
nosniff
阻止请求,如果请求的类型是
“ style
”,而 MIME 类型不是“ text/css
”,或者
“ script
”,而 MIME 类型不是 JavaScript MIME 类型。
Specification | Status | Comment |
---|---|---|
FetchThe definition of 'X-Content-Type-Options definition' in that specification. | Living Standard | Initial definition |
Feature | Chrome | Edge | Firefox | Internet Explorer | Opera | Safari |
---|---|---|---|---|---|---|
Basic Support | 1.0 | (Yes) | 50 | 8.0 | 13 | No |
Feature | Android | Chrome for Android | Edge mobile | Firefox for Android | IE mobile | Opera Android | iOS Safari |
---|---|---|---|---|---|---|---|
Basic Support | (Yes) | (Yes) | (Yes) | 50 | (Yes) | (Yes) | No |