Заголовок X-Content-Type-Options со значением nosniff запрещает браузеру определять MIME-тип самостоятельно. Браузер будет строго следовать Content-Type от сервера.

Без этого заголовка браузеры могут пытаться определить тип контента по содержимому. Злоумышленники могут использовать это для атак.

Прост в реализации, не имеет проблем совместимости и рекомендован OWASP.

Проверьте, правильно ли ваш сайт отправляет этот заголовок

Проверить заголовки →