Salt la conținut
Securitate Web

Ce este X-Content-Type-Options?

Impiedica browserul sa ghiceasca tipul fisierelor

Definiție X-Content-Type-Options

Acest antet de securitate (cu valoarea "nosniff") spune browserului sa nu incerce sa ghiceasca tipul unui fisier. Fara el, browserul ar putea interpreta un fisier text ca JavaScript si sa-l execute, ceea ce deschide usa atacurilor. Cu "nosniff" activat, fiecare fisier este tratat exact ca ce este declarat.

De ce contează X-Content-Type-Options

Browserele pot interpreta gresit tipul unui fisier prin MIME sniffing — un fisier text uploadat de un atacator poate fi executat ca JavaScript daca browserul ii ghiceste tipul incorect. Acest antet cu valoarea nosniff elimina complet acest vector de atac, obligand browserul sa respecte Content-Type-ul declarat de server.

Cum verifici X-Content-Type-Options

SoftAudit verifica prezenta antetului X-Content-Type-Options cu valoarea nosniff in raspunsul serverului. Testul se aplica pe pagina principala, dar si pe resursele statice (CSS, JS, imagini) unde MIME sniffing-ul este cel mai periculos.

Verifică securitatea site-ului →

Greșeli frecvente

Multi administratori cred ca acest antet este optional sau are impact neglijabil, insa fara el un fisier SVG uploadat poate contine JavaScript executabil. O alta eroare este sa setezi antetul doar pentru pagini HTML, ignorand fisierele statice servite de CDN.

Bune practici

Adauga X-Content-Type-Options: nosniff pe TOATE raspunsurile HTTP, inclusiv resursele statice, la nivel de configurare server (nginx, Apache). Asigura-te ca serverul trimite Content-Type corect pentru fiecare tip de fisier — nosniff fara Content-Type corect poate bloca resursele legitime.

Verifică acum

Folosește instrumentul gratuit SoftAudit pentru a verifica x-content-type-options pe site-ul tău.

Verificare Securitate — Gratuit

Întrebări frecvente

Ce este X-Content-Type-Options?

Acest antet de securitate (cu valoarea "nosniff") spune browserului sa nu incerce sa ghiceasca tipul unui fisier. Fara el, browserul ar putea interpreta un fisier text ca JavaScript si sa-l execute, ceea ce deschide usa atacurilor. Cu "nosniff" activat, fiecare fisier este tratat exact ca ce este declarat.

De ce este important X-Content-Type-Options pentru un website?

Browserele pot interpreta gresit tipul unui fisier prin MIME sniffing — un fisier text uploadat de un atacator poate fi executat ca JavaScript daca browserul ii ghiceste tipul incorect. Acest antet cu valoarea nosniff elimina complet acest vector de atac, obligand browserul sa respecte Content-Type-ul declarat de server.

Termeni asociați

Înapoi la glosarul complet