Cabeceras HTTP

X-Content-Type-Options: nosniff

X-Content-Type-Options: nosniff es una cabecera que se utiliza para la prevención de ataques de MIME-Type confusion.

Solo afecta a las hojas de estilos y a los script.

Si se recibe la directiva nosniff en una respuesta de una hoja de estilos, Internet Explorer no carga la hoja de estilos a menos que el tipo MIME sea el correcto text/css.

Si se recibe la directiva nosniff en una respuesta de un script, Internet Explorer no carga el “script” de archivos a menos que el tipo MIME coincida con uno de los siguientes valores:

  • application/ecmascript
  • application/javascript
  • application/x-javascript
  • text/ecmascript
  • text/javascript
  • text/jscript
  • text/x-javascript
  • text/vbs
  • text/vbscript

 

Por ejemplo, HTTP-response:

HTTP/1.1 200 OK
Content-Length: 108
Date: Thu, 26 Jun 2008 22:06:28 GMT
Content-Type: text/plain;
X-Content-Type-Options: nosniff

<html>
<body bgcolor="#AA0000">
This page renders as HTML source code (text) in IE8.
</body>
</html>

X-Download-Options: noopen

X-Download-Options: noopen, esta cabecera sirve para forzar el guardado del archivo antes de poder abrirlo, evitando asi que se ejecute en el contexto de la seguridad de su web.

HTTP/1.1 200 OK
Content-Length: 238
Content-Type: text/html
X-Download-Options: noopen
Content-Disposition: attachment; filename=untrustedfile.html