X-Content-Type-Options名词解释

X-Content-Type-Options可以防止浏览器进行MIME类型的嗅探，大多数浏览器现在都支持此标头，Chrome、Firefox和Edge以及其他浏览器都支持。

该消息头最初是由微软在 IE 8 浏览器中引入的，提供给网站管理员用作禁用内容嗅探的手段，内容嗅探技术可能会把不可执行的 MIME 类型转变为可执行的 MIME 类型。

X-Content-Type-Options的HTTP消息头相当于一个提示标志，被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定，而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为。

当服务器响应头 X-Content-Type-Options 为 nosniff 时，则styleSheet和script元素会过滤非指定的MIME文件。

stylesheet标签只会加载以下MIME类型的文件：

（1）text/css

script标签只会加载以下MIME类型的文件：

（1）application/ecmascript

（2）application/javascript

（3）application/x-javascript

（4）text/ecmascript

（5）text/javascript

（6）text/jscript

（7）text/x-javascript

（8）text/vbs

（9）text/vbscript