Définition
X-Content-Type-Options est une technique de base qui demande aux clients web de ne pas (télé)charger des ressources, tels que des scripts ou des feuilles de styles à moins que le serveur n’indique correctement le type MIME . Sans cette entête, les clients web pourraient télécharger n’importe quoi, et ainsi être victimes d’attaques.
X-Content-Type-Options est une entête HTTP , dont la mise-en-place est extrêmement aisé, mais le bénéfice est faible !
Il n’existe qu’une seule option possible : nosniff
Elle fait partie des entêtes de base à générer pour protéger son site web, au même titre que l’usage de HSTS , et des autres entêtes X-*-Options, telles que X-Frame-Options , ou X-XSS-Protections …
Exemples
X-Content-Type-Options: nosniff
nginx
add_header X-Content-Type-Options "nosniff" always;
relayd
Et, oui, malheureusement, httpd ne peut pas gérer les entêtes, ce sera son binôme relayd(8) que l’on utilisera !
match response header set "X-Content-Type-Options" value "nosniff"