%

X-Content-Type-Options (header)

Article publié, le et modifié le
Une minute de lecture

Cet article contient 151 mots.
Source brute de l'article :
Commit version : 7d84168

Définition

X-Content-Type-Options est une technique de base qui demande aux clients web de ne pas (télé)charger des ressources, tels que des scripts ou des feuilles de styles à moins que le serveur n’indique correctement le type MIME . Sans cette entête, les clients web pourraient télécharger n’importe quoi, et ainsi être victimes d’attaques.

X-Content-Type-Options est une entête HTTP , dont la mise-en-place est extrêmement aisé, mais le bénéfice est faible !

Il n’existe qu’une seule option possible : nosniff

Elle fait partie des entêtes de base à générer pour protéger son site web, au même titre que l’usage de HSTS , et des autres entêtes X-*-Options, telles que X-Frame-Options , ou X-XSS-Protections

Exemples

X-Content-Type-Options: nosniff

nginx

add_header X-Content-Type-Options "nosniff" always;

relayd

Et, oui, malheureusement, httpd ne peut pas gérer les entêtes, ce sera son binôme relayd(8) que l’on utilisera !

match response header set "X-Content-Type-Options" value "nosniff"

Documentations