二、nosniff的作用機制

當(dāng)服務(wù)器使用X-Content-Type-Options: nosniff響應(yīng)頭返回響應(yīng)時，瀏覽器會強制執(zhí)行Content-Type指定的類型，以保證用戶安全。nosniff告訴瀏覽器，不要執(zhí)行HTML內(nèi)容的js腳本，不要執(zhí)行JSON內(nèi)容的html代碼，不要執(zhí)行plain/text類型的任何內(nèi)容等等。

nosniff的作用是簡單而直接的，它并不檢測或修改響應(yīng)的實際內(nèi)容。相反，它只是告訴瀏覽器在讀取響應(yīng)之前忽略該響應(yīng)的Content-Type，而只遵循響應(yīng)頭中的Content-Type。

另外，nosniff還可以防止圖片注入攻擊（pinhole attack），在HTML文檔中，通過將數(shù)據(jù)URL Uri作為圖片的src屬性值發(fā)送到瀏覽器上來，使得待執(zhí)行腳本可以完全掌控該圖片的內(nèi)容。如果響應(yīng)頭未包含nosniff標(biāo)頭，則瀏覽器可能會將圖片識別為JavaScript文件，并在執(zhí)行時將其解釋為代碼，從而導(dǎo)致XSS攻擊。

三、nosniff的應(yīng)用場景

nosniff主要應(yīng)用于防范跨站腳本攻擊（XSS）和“snippet-injection”攻擊。Snippet-injection攻擊是指把HTML代碼嵌套到非HTML內(nèi)容，瀏覽器會讀取并解析該內(nèi)容。這可能導(dǎo)致XSS攻擊或把被詐騙者誤導(dǎo)到包含惡意代碼的站點。

nosniff一般都是跟X-XSS-Protection和Content-Security-Policy等安全頭一起使用，從而使得Web應(yīng)用更加安全。例如，Content-Security-Policy中添加了default-src 'none' 選項，當(dāng)瀏覽器加載到一個非白名單內(nèi)的內(nèi)容時，該內(nèi)容會被禁止執(zhí)行，進而提高了應(yīng)用安全性。

四、如何使用nosniff

在使用nosniff時，開發(fā)人員應(yīng)該將其添加到服務(wù)器響應(yīng)頭中，示例代碼如下：

X-Content-Type-Options: nosniff

HTTP/1.1 200 OK
Content-Type: text/html;charset=utf-8
X-Content-Type-Options: nosniff