X-Content-Type-Options
X-Content-Type-Options je další HTTP zabezpečovací záhlaví (HTTP security header), které slouží k ochraně webových stránek před určitými druhy útoků, jako je MIME Sniffing. MIME Sniffing je situace, kdy prohlížeč automaticky pokusí určit typ obsahu (MIME type) souboru, i když je tento typ obsahu deklarován v HTTP zabezpečovacích záhlavích. To může vést k potenciálním bezpečnostním rizikům, protože prohlížeč může nesprávně interpretovat obsah souboru, což umožní útočníkovi provádět různé typy útoků, jako je Cross-Site Scripting (XSS) nebo Cross-Site Request Forgery (CSRF).
X-Content-Type-Options nabízí dvě hlavní hodnoty:
- X-Content-Type-Options: nosniff: Tato hodnota zabraňuje prohlížeči ve snaze určit MIME typ souboru na základě jeho obsahu. Pokud je tento HTTP zabezpečovací záhlaví nastaveno na „nosniff“, prohlížeč přijme deklarovaný MIME typ ze serveru a nepokouší se ho změnit nebo interpretovat.
- X-Content-Type-Options: sniff: Tato hodnota povoluje prohlížeči MIME sniffing (implicitní chování), což znamená, že prohlížeč může pokusit se určit MIME typ souboru na základě jeho obsahu, pokud není deklarován správně v HTTP zabezpečovacích záhlavích.
Použití X-Content-Type-Options zabezpečovacího záhlaví s hodnotou „nosniff“ je dobrá praxe pro zvýšení bezpečnosti webových stránek a minimalizaci rizika útoků způsobených MIME Sniffingem. Tímto způsobem je zajištěno, že prohlížeč respektuje deklarovaný MIME typ souborů ze serveru a neprovádí automatické určování typu obsahu na základě obsahu souboru. To může pomoci chránit webové stránky před určitými typy bezpečnostních hrozeb, které mohou vzniknout v důsledku nesprávné interpretace MIME typů prohlížečem.