X-Content-Type-Options (header)

Article publié, le et modifié le
1 minute(s) de lecture

Cet article contient 149 mots.
Source brute de l'article : MD

Définition

X-Content-Type-Options est une technique de base qui demande aux clients web de ne pas (télé)charger des ressources, tels que des scripts ou des feuilles de styles à moins que le serveur n’indique correctement le type MIME . Sans cette entête, les clients web pourraient télécharger n’importe quoi, et ainsi être victimes d’attaques.

X-Content-Type-Options est une entête HTTP , dont la mise-en-place est extrêmement aisé, mais le bénéfice est faible !

Il n’existe qu’une seule option possible : nosniff

Elle fait partie des entêtes de base à générer pour protéger son site web, au même titre que l’usage de HSTS, et des autres entêtes X-*-Options, telles que X-Frame-Options, ou X-XSS-Protections

Exemples

X-Content-Type-Options: nosniff

nginx

add_header X-Content-Type-Options "nosniff" always;

relayd

Et, oui, malheureusement, httpd ne peut pas gérer les entêtes, ce sera son binôme relayd(8) que l’on utilisera !

match response header set "X-Content-Type-Options" value "nosniff"

Documentations