X-Content-Type-Options 有什麼作用？

安全標頭是 HTTP 響應標頭的子集，可由 Web 服務器設置，每個 Web 服務器都在瀏覽器中應用安全控制。HTTP 標頭是一種與 Web 請求和響應一起發送的元數據形式。安全標頭“X-Content-Type-Options”可防止瀏覽器執行 MIME 嗅探。

注意：HTTP 標頭不是 HTTP 獨有的，也用於 HTTPS。

什麼是 MIME 嗅探？

當通過 Web 發送任何數據時，包含的元數據片段之一是 MIME 類型。多用途 Internet 郵件擴展或 MIME 類型是用於定義文件包含的數據類型的標準，它指示應如何處理文件。通常，MIME 類型由具有可選參數和值的類型和子類型組成。例如，UTF-8 文本文件的 MIME 類型為“text/plain;charset=UTF-8”。在該示例中，類型為“text”，子類型為“plain”，參數為“charset”，值為“UTF-8”。

為了防止錯誤標記和錯誤處理文件，Web 服務器通常執行 MIME 嗅探。這是一個忽略明確聲明的 MIME 類型的過程，而是分析文件的開頭。大多數文件類型包括標頭序列，表明它是什麼類型的文件。大多數情況下，MIME 類型是正確的，嗅探文件沒有區別。如果有差異，網絡服務器將使用嗅探的文件類型來確定如何處理文件，而不是聲明的 MIME 類型。

如果攻擊者設法上傳了 PNG 圖像等文件，但該文件實際上是 JavaScript 代碼之類的其他內容，則會出現問題。對於類似的文件類型，例如兩種文本類型，這可能不會造成太大問題。然而，如果可以執行一個完全無害的文件，這將成為一個嚴重的問題。

X-Content-Type-Options 有什麼作用？                                                

X-Content-Type-Options 標頭只有一個可能的值“X-Content-Type-Options: nosniff”。啟用它會通知用戶的瀏覽器它不能執行 MIME 類型嗅探，而是依賴於顯式聲明的值。如果沒有此設置，如果惡意 JavaScript 文件被偽裝成 PNG 等圖像，則該 JavaScript 文件將被執行。啟用 X-Content-Type-Options 後，該文件將被視為無法加載的圖像，因為該文件不是有效的圖像格式。

X-Content-Type-Options 在完全使用第一方資源的網站上不是特別必要，因為不可能意外提供惡意文件。如果網站使用第三方內容（例如外部資源或用戶提交的資源），則 X-Content-Type-Options 可提供針對此類攻擊的保護。