X-Content-Type-Options
X-Content-Type-Options ist ein HTTP-Security-Header mit genau einem gültigen Wert: nosniff. Er verhindert, dass der Browser den MIME-Typ einer Datei errät (MIME-Sniffing) und stattdessen den vom Server angegebenen Content-Type verwendet.
Ohne diesen Header kann ein Browser eine als Bild deklarierte Datei als JavaScript interpretieren und ausführen — ein Einfallstor für Angriffe. Mit X-Content-Type-Options: nosniff respektiert der Browser den Content-Type und blockiert Dateien, die nicht zum deklarierten Typ passen.
Warum ist MIME-Sniffing gefährlich?
Ein Angreifer könnte eine Datei mit Schadcode hochladen und als harmloses Bild (image/png) tarnen. Ohne nosniff-Header könnte der Browser erkennen, dass die Datei JavaScript enthält, und sie ausführen. Mit nosniff wird die Datei als Bild behandelt — der Schadcode wird nicht ausgeführt.
Was prüft exatics?
Unser Audit prüft, ob der X-Content-Type-Options Header mit dem Wert nosniff gesetzt ist. Fehlt der Header, wird dies als vermeidbares Sicherheitsrisiko bewertet.
Häufige Fragen zu X-Content-Type-Options
Kann nosniff Probleme verursachen?
In seltenen Fällen ja: Wenn Ihr Server falsche Content-Type Header sendet (z. B. ein CSS-File als text/html), blockiert der Browser die Datei. Das ist aber ein Konfigurationsfehler des Servers, den Sie ohnehin beheben sollten. In der Praxis verursacht nosniff bei korrekt konfigurierten Servern keine Probleme.