MIME 嗅探防护：X-Content-Type-Options 与正确的 Content-Type

--- title: MIME 嗅探防护：X-Content-Type-Options 与正确的 Content-Type keywords: - X-Content-Type-Options - nosniff - Content-Type - MIME 嗅探 - CORB - 安全 description: 讲解 nosniff 的工作机制与适用范围，强调正确设置 Content-Type 的重要性，并补充在现代浏览器中的行为与相关安全建议。 categories: - 文章资讯 - 技术教程 --- # 概述 当服务器返回错误或缺失的 `Content-Type` 时，浏览器可能进行 MIME 嗅探并执行不安全内容。`X-Content-Type-Options: nosniff` 要求遵循声明的类型，阻止对脚本与样式的嗅探执行，降低 XSS 风险。 # 行为与范围 - 仅适用于 `script` 与 `style` 请求目标；不适用于图片等资源类型；现代浏览器还结合 CORB 保护 HTML/TXT/JSON/XML 等跨源读取［参考1,2］。 - 自 Firefox 72 起，顶级文档在提供了 `Content-Type` 时也避免嗅探，需确保类型与页面内容匹配，否则可能导致下载而非渲染［参考2］。 # 实践建议 - 始终设置正确的 `Content-Type`；配合 `X-Content-Type-Options: nosniff`。 - 为 JavaScript/CSS 等资源确保类型为标准 MIME（如 `text/javascript`、`text/css`）。 # 参考与验证 - ［参考1］MDN 中文：`X-Content-Type-Options` 说明与适用范围：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-Content-Type-Options - ［参考2］MDN 英文：`X-Content-Type-Options` 行为（顶级文档与 CORB）：https://mdn.org.cn/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options - ［参考3］MDN：MIME 类型与嗅探说明与安全建议：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Basics_of_HTTP/MIME_types - ［参考4］MDN 安全实践：MIME 类型验证与 nosniff 建议：https://mdn.org.cn/en-US/docs/Web/Security/Practical_implementation_guides/MIME_types - ［参考5］技术文章：IE/浏览器 nosniff 行为与类型匹配示例：https://www.cnblogs.com/lizm166/p/12627190.html # 关键词校验 关键词覆盖 nosniff/Content-Type/MIME 嗅探，与正文一致。