web安全：x-content-type-options头设置

 

如果服务器发送响应头 "X-Content-Type-Options: nosniff"，则 script 和 styleSheet 元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能，有助于防止基于 MIME 类型混淆的攻击。

 

简单理解为：通过设置"X-Content-Type-Options: nosniff"响应标头，对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件

服务器发送含有 "X-Content-Type-Options: nosniff" 标头的响应时，此更改会影响浏览器的行为。

 

如果通过 styleSheet 参考检索到的响应中接收到 "nosniff" 指令，则 Windows Internet Explorer 不会加载“stylesheet”文件，除非 MIME 类型匹配 "text/css"。

如果通过 script 参考检索到的响应中接收到 "nosniff" 指令，则 Internet Explorer 不会加载“script”文件，除非 MIME 类型匹配以下值之一：

 

• "application/ecmascript"

• "application/javascript"

• "application/x-javascript"

• "text/ecmascript"

• "text/javascript"

• "text/jscript"

• "text/x-javascript"

• "text/vbs"

• "text/vbscript"

总结：我的理解是服务器回复了"X-Content-Type-Options: nosniff" 后，他response文件不会去加载不符合要求的， script 和 styleSheet文件。

也就是mime类型不是"application/ecmascript"，"application/javascript"等特定类型。