Qu'est-ce que l'en-tête HTTP X-Content-Type-Options ?

L’entête de réponse HTTP X-Content-Type-Options est un mécanisme de sécurité qui empêche le navigateur de tenter de deviner et de modifier le type MIME, qui est déclaré dans l’entête Content-Type.

Il comporte une seule directive nosniff qui indique au navigateur de ne pas effectuer de « mime-type sniffing ». En d’autres termes, le navigateur ne doit pas essayer de deviner ou de modifier le type de contenu déclaré. Cette pratique renforce la sécurité en prévenant certains types d’attaques.

Par exemple, elle empêche l’exécution de scripts malveillants sur des pages web en forçant l’interprétation de contenus comme des scripts, même s’ils ne sont pas déclarés comme tels.

Quand utiliser X-Content-Type-Options pour vos ressources web ?

L’entête X-Content-Type-Options est surtout utile lorsque le serveur envoie des types de contenu non scriptables comme les images ou les fichiers PDF. Il empêche le navigateur de traiter ces contenus comme des scripts. Dans le cas de types de contenu scriptables, l’utilisation de l’entête Content-Type approprié est généralement suffisante.