L’en-tête HTTP X-Content-Type-Options: nosniff indique aux navigateurs de respecter strictement le type MIME déclaré par le serveur, neutralisant ainsi les attaques où du contenu malveillant pourrait être interprété comme un script ou une feuille de style.
Qu’est-ce que X-Content-Type-Options ?
Spécifié dans la documentation MDN, cet en-tête désactive le « MIME type sniffing » des navigateurs. Seule la valeur nosniff est définie, garantissant que les réponses sont traitées selon le Content-Type annoncé.
Pourquoi implémenter X-Content-Type-Options ?
- Prévention des attaques drive-by download, où du code malveillant est servi sous l’apparence de fichiers légitimes.
- Réduction des risques de XSS liés à une interprétation erronée des scripts ou des styles.
- Assurance de l’intégrité du contenu et expérience utilisateur cohérente sur tous les navigateurs.
Syntaxe de l’en-tête
X-Content-Type-Options: nosniff
Exemples de déploiement
Nginx
add_header X-Content-Type-Options "nosniff" always;
Apache (.htaccess)
<IfModule mod_headers.c> Header set X-Content-Type-Options "nosniff" </IfModule>
WordPress (functions.php)
add_action('send_headers', function(){
header('X-Content-Type-Options: nosniff');
});
Lighttpd
setenv.add-response-header = ( "X-Content-Type-Options" => "nosniff" )
Nos services de mise en place de X-Content-Type-Options
Chez Dimension Internet, nous réalisons :
- l’audit de vos en-têtes HTTP et de vos types MIME,
- la configuration et le déploiement de l’en-tête nosniff,
- le test et la validation en environnement de préproduction,
- le monitoring continu pour garantir une application cohérente et sécurisée.
Conclusion
L’en-tête X-Content-Type-Options: nosniff constitue un rempart essentiel contre les attaques liées au MIME sniffing et renforce la sécurité globale de votre site. Dimension Internet vous accompagne de l’analyse initiale au suivi opérationnel pour un déploiement efficace et sans faille.