?
如果服务器发送响应头 "X-Content-Type-Options: nosniff",则?script?和?styleSheet?元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。
?
简单理解为:通过设置"X-Content-Type-Options: nosniff"响应标头,对?script?和?styleSheet?在执行是通过MIME 类型来过滤掉不安全的文件
服务器发送含有?"X-Content-Type-Options: nosniff"?标头的响应时,此更改会影响浏览器的行为。
?
如果通过?styleSheet?参考检索到的响应中接收到 "nosniff" 指令,则 Windows Internet Explorer 不会加载“stylesheet”文件,除非 MIME 类型匹配 "text/css"。
如果通过?script?参考检索到的响应中接收到 "nosniff" 指令,则 Internet Explorer 不会加载“script”文件,除非 MIME 类型匹配以下值之一:
?
"application/ecmascript"
"application/javascript"
"application/x-javascript"
"text/ecmascript"
"text/javascript"
"text/jscript"
"text/x-javascript"
"text/vbs"
"text/vbscript"
总结:我的理解是服务器回复了"X-Content-Type-Options: nosniff"?后,他response文件不会去加载不符合要求的,?script?和?styleSheet文件。
也就是mime类型不是"application/ecmascript","application/javascript"等特定类型。
1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,会注明原创字样,如未注明都非原创,如有侵权请联系删除!;3.作者投稿可能会经我们编辑修改或补充;4.本站不提供任何储存功能只提供收集或者投稿人的网盘链接。 |
标签: #如果服务器发送响应头 #MIME #类型的响应 #这是一种安全功能有助于防止基于