Web安全之充分利用 X-Content-Type-Options

X-Content-Type-Options 是充分什么
？

X-Content-Type-Options 是一种 HTTP 响应头，用于控制浏览器是利用否应该尝试 MIME 类型嗅探。如果启用了 X-Content-Type-Options ，充分浏览器将遵循服务器提供的利用 MIME 类型，用于防止浏览器执行 MIME 类型错误的服务器租用充分响应体（response body）。

如果在http响应头中指定的利用 Content-Type 与实际响应体返回的 MIME 类型不一致，这种情况下浏览器可能会忽略响应头中指定的充分Content-Type，执行实际响应体的利用 MIME 类型，模板下载造成安全风险 ，充分而设置 X-Content-Type-Options 就是利用为了避免这种类型的安全风险。

如何设置 X-Content-Type-Options ？充分

在服务器端（前后端分离的场景下
，只需要在前端站点所在服务器配置即可 ，利用如果前后端在一起的香港云服务器充分话在项目所在服务器配置）的代码或反向代理服务配置中添加 X-Content-Type-Options 头即可
。

以 nginx为例，利用在 nginx.conf 文件中添加以下行
：

复制add_header X-Content-Type-Options nosniff;1.

以 apache为例  ，充分在 .htaccess 文件中添加以下行 
：

复制Header set X-Content-Type-Options "nosniff"1.

响应头 key 是 X-Content-Type-Options
，值为 nosniff  。这个配置是建站模板告诉浏览器禁止执行与 Content-Type 指定的类型不一致的响应内容，不要尝试从文件扩展名或文件内容中推断出文件类型
，从而避免了内容嗅探所带来的安全风险 。

X-Content-Type-Options 应用场景

主要用于防范 XSS（跨站脚本攻击）和 snippet-injection 攻击。snippet-injection 攻击是免费模板指把 HTML 代码嵌入到非 HTML 内容，浏览器会读取并解析该内容。这可能导致XSS攻击或着被误导到包含恶意代码的站点。

看个例子

下面是一段使用了 X-Content-Type-Options 响应头的代码 
：

复制HTTP/1.1 200 OK Content-Type: text/html;charset=utf-8 X-Content-Type-Options: nosniff <html> <head> <title>路多辛的博客</title> </head> <body> <script> alert("nosniff warning"); </script> </body> </html>1.2.3.4.5.6.7.8.9.10.11.12.13.14.

通过在响应头中添加 X-Content-Type-Options: nosniff ，源码下载告诉浏览器只能执行 MIME 为 text/html 的响应内容，将阻止浏览器执行 JavaScript 代码。

很赞哦!（33）