X-Content-Type-Options ist ein HTTP-Response-Header mit nur einem gültigen Wert: nosniff. Er weist den Browser an, den im Content-Type-Header deklarierten MIME-Typ strikt zu befolgen und nicht zu versuchen, den Inhaltstyp eigenständig zu erraten ("sniffing").
Warum MIME-Type-Sniffing gefährlich ist
Ohne diesen Header versuchen Browser möglicherweise, den Inhaltstyp durch Inspektion des Dateiinhalts zu erkennen. Dies kann ausgenutzt werden:
- Ein Angreifer lädt eine als Bild getarnte Datei hoch, die JavaScript enthält
- Der Browser erkennt beim Sniffing, dass es sich um JavaScript handelt, und führt es aus
- Dies führt zu XSS-Angriffen (Cross-Site Scripting)
Die Lösung
X-Content-Type-Options: nosniffMit diesem Header verarbeitet der Browser Dateien nur entsprechend ihrem deklarierten MIME-Typ. Eine als image/png ausgelieferte Datei wird nur als Bild behandelt — niemals als Skript.
Was InspectWP prüft
InspectWP prüft, ob deine WordPress-Seite den X-Content-Type-Options: nosniff-Header sendet. Dies ist ein einfacher, aber wichtiger Sicherheitsheader, der auf jeder Website vorhanden sein sollte.