X-Content-Type-Options ist ein HTTP-Header, der verwendet wird, um anzugeben, ob ein Browser berechtigt ist, die MIME-Typensniffing-Regeln anzuwenden. MIME-Typensniffing ist ein Mechanismus, bei dem ein Browser versucht, den Inhaltstyp einer Datei zu erraten, basierend auf ihrem Inhalt, wenn der Server keinen Content-Type-Header sendet oder der Header unzureichend ist. Diese Funktion kann potenzielle Sicherheitsrisiken darstellen, insbesondere wenn es um das Ausführen von JavaScript- oder anderen Skripten in unerwarteten Kontexten geht. Der X-Content-Type-Options-Header kann zwei Werte haben: „nosniff“ verhindert, dass der Browser die MIME-Typensniffing-Regeln anwendet und den Inhaltstyp der Datei akzeptiert, wie er vom Server gesendet wurde. „sniff“ erlaubt dem Browser, die MIME-Typensniffing-Regeln anzuwenden und den Inhaltstyp der Datei zu erraten, wenn der Server keinen Content-Type-Header sendet.
