X-Content-Type-Options
Kurzdefinition
Ein Header zur Deaktivierung des MIME-Sniffings. Zwingt den Browser, den vom Server deklarierten Content-Type einzuhalten.
Ausführliche Erklärung
X-Content-Type-Options mit dem Wert `nosniff` verhindert, dass der Browser den Dateityp einer Ressource selbst errät (MIME-Sniffing). Ohne diesen Header könnte ein als Bild getarntes Skript dennoch als JavaScript ausgeführt werden – eine bekannte Angriffsfläche. Der Header zwingt den Browser, strikt den vom Server gesendeten `Content-Type` zu respektieren. Er ist einfach zu setzen und gehört zur Grundausstattung jeder Sicherheitskonfiguration.
Beispiel
`X-Content-Type-Options: nosniff` verhindert, dass eine als `text/plain` ausgelieferte Datei vom Browser als HTML oder JavaScript interpretiert wird.
Im ausführlichen Fachartikel erklären wir X-Content-Type-Options mit Architektur, Praxisbeispielen und Best Practices im Detail: