X-Content-Type-Options Value
Checker ID: #13
v0.1.1
X-Content-Type-Options Value
Importância
A ausência do cabeçalho X-Content-Type-Options permite que navegadores realizem "MIME sniffing" (adivinhação do tipo de conteúdo). Isso cria uma vulnerabilidade onde um navegador pode ser enganado para executar um arquivo aparentemente inofensivo (como uma imagem .jpg) como se fosse um script malicioso, possibilitando ataques de Cross-Site Scripting (XSS).
Descrição Técnica
Analisa a resposta HTTP retornada pelo servidor do website sob teste para confirmar se o cabeçalho X-Content-Type-Options está presente e configurado de forma segura.
Cenários de Teste
Cenário Aprovado: O cabeçalho X-Content-Type-Options está presente e seu valor é exatamente nosniff
HTTP/1.1 200 OK
Date: Wed, 17 Dec 2025 11:45:00 GMT
Server: nginx/1.18.0
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
X-Content-Type-Options: nosniff
Last-Modified: Mon, 01 Dec 2025 10:00:00 GMT
ETag: "5f8c-60d4-1a2b"
Cache-Control: max-age=3600
Content-Length: 1540
Cenário Reprovado: O cabeçalho X-Content-Type-Options está ausente
HTTP/1.1 200 OK
Date: Wed, 17 Dec 2025 11:45:00 GMT
Server: nginx/1.18.0
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Strict-Transport-Security: max-age=31536000
Last-Modified: Mon, 01 Dec 2025 10:00:00 GMT
ETag: "5f8c-60d4-1a2b"
Cache-Control: max-age=3600
Content-Length: 1540
Cenário Reprovado: O cabeçalho X-Content-Type-Options está presente mas seu valor é diferente de nosniff
HTTP/1.1 200 OK
Date: Wed, 17 Dec 2025 11:45:00 GMT
Server: nginx/1.18.0
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
X-Content-Type-Options: none
Last-Modified: Mon, 01 Dec 2025 10:00:00 GMT
ETag: "5f8c-60d4-1a2b"
Cache-Control: max-age=3600
Content-Length: 1540