---

title: MIME嗅探与Content-Type防护

keywords: ["MIME嗅探", "Content-Type", "X-Content-Type-Options", "下载安全"]

description: 通过正确的 Content-Type 与 X-Content-Type-Options: nosniff 防止浏览器误判资源类型导致的安全风险。

categories:

• 文章资讯
• 技术教程

---

MIME嗅探与Content-Type防护

概览

浏览器在缺失或错误类型时可能嗅探资源类型，造成脚本执行等风险。正确的响应头能消除风险。

技术参数（已验证）

• 类型：为脚本/样式/JSON/下载准确设置 Content-Type。
• nosniff：通过 X-Content-Type-Options: nosniff 禁止嗅探。
• 下载：为下载内容设置 Content-Disposition 与类型，防止执行。

实战清单

• 审查所有静态与动态资源头；统一中间件设置类型与 nosniff。
• 结合 CSP 与 SRI 提升整体防护。