HTTP头X-Content-Type-Options使用示例

HTTP头X-Content-Type-Options的作用是在服务器端添加"X-Content-Type-Options: nosniff"后,对于style和script文件,如果服务器端设置了不正确的 MIME 类型,那么请求将会被阻止,下边我们写个例子演示下:

demo.php:
<!doctype html>
<html>
<head>
<meta charset="utf-8">
</head>

<body>
    <script src="js.php" type="text/javascript"></script>
</body>
</html>

js.php:
<?php
header('X-Content-Type-Options: nosniff');
//header('Content-type: text/javascript');
?>

alert("木子屋: http://www.mzwu.com/");

在Firefox打开demo.php,控制台提示错误如下:

引用内容 引用内容
来自“http://www.moju365.com/js.php”的资源已被阻止,因为 MIME 类型(“text/html”)不匹配(X-Content-Type-Options: nosniff)。







去掉header('Content-type: text/javascript')前的注释,页面即可正常显示。

评论: 0 | 引用: 0 | 查看次数: 141
发表评论
登录后再发表评论!