MIME-Sniffing
Kurzdefinition
Ein Verhalten von Browsern, bei dem versucht wird, den Dateityp anhand des Inhalts zu erraten, statt sich an den Content-Type-Header des Servers zu halten.
Ausführliche Erklärung
MIME-Sniffing bezeichnet den Versuch des Browsers, den tatsächlichen Dateityp einer Ressource aus deren Inhalt zu erraten, wenn der `Content-Type` fehlt oder unpassend wirkt. Das war ursprünglich nutzerfreundlich, ist aber ein Sicherheitsrisiko: Eine als Bild deklarierte Datei mit eingebettetem Skript könnte als JavaScript ausgeführt werden. Verhindert wird dieses Verhalten durch den Header `X-Content-Type-Options: nosniff`.
Beispiel
Eine hochgeladene `.jpg`-Datei, die in Wahrheit JavaScript enthält, könnte ohne `nosniff` per MIME-Sniffing als Skript interpretiert und ausgeführt werden.
Im ausführlichen Fachartikel erklären wir MIME-Sniffing mit Architektur, Praxisbeispielen und Best Practices im Detail: