X-Content-Type-Options

ist eine Markierung,
die vom Server verwendet wird, um anzugeben,
dass die in den Content-Type Headern
angekündigten MIME-Typen nicht geändert
und befolgt werden sollten.
Dies ermöglicht es,
das MIME-Typ-Sniffing abzulehnen,
oder mit anderen Worten,
es ist eine Möglichkeit zu sagen,
dass die Webmaster wussten, was sie taten.

Dieser Header wurde von Microsoft in IE 8 eingeführt,
um Webmastern die Möglichkeit zu geben,
das Sniffing von Inhalten zu blockieren
und nicht ausführbare MIME-Typen
in ausführbare MIME-Typen umzuwandeln.
Seitdem haben andere Browser es eingeführt,
auch wenn ihre MIME-Sniffing-Algorithmen
weniger aggressiv waren.

Site-Sicherheitstester erwarten normalerweise,
dass dieser Header gesetzt wird.

gilt nur für die Typen "" und "".
Auch die Anwendung auf Bilder
erwies sich als inkompatibel mit bestehenden Websites
nosniff script style nosniff

Der einzige definierte Wert „nosniff“
untersagt dem Internet Explorer,
durch MIME-Sniffing
einen anderen als den deklarierten Inhaltstyp
zu bestimmen und anzuwenden.

Beispiel:

X-Content-Type-Options   nosniff

Blockiert eine Anforderung, wenn der angeforderte Typ
style und der MIME-Typ nicht "" ist, oder text/css
script und der MIME-Typ ist kein JavaScript-MIME-Typ.

HTTP-Antwortheader