X-Content-Type-Options aiuta a proteggere dagli attacchi che sfruttano il browser cercando di interpretare le risposte HTTP con un Content-Type dichiarato in modo errato.
Ma cosa succede quando la risposta HTTP imposta l'intestazione X-Content-Type-Options ma non l'intestazione Content-Type .
Il browser continuerà a "fiutare" o prenderà un determinato valore predefinito?
Trovata la risposta nella stessa pagina :
- Let mimeType be the result of extracting a MIME type from response’s header list.
- Let destination be request’s destination.
- If destination is script-like and mimeType (ignoring parameters) is not a JavaScript MIME type, then return blocked.
- If destination is "style" and mimeType (ignoring parameters) is not
text/css, then return blocked.- Return allowed.
Presumo, dal momento che non è stato dichiarato il tipo MIME, il passaggio 3 non restituisce mai il blocco. Nel mio caso, non esiste neanche una destinazione, quindi finiamo al passaggio 5 - > consentito.
Modifica: nei passaggi 3 e 4 un tipo mime vuoto non sarà un tipo mime javascript o un tipo mime text / css. Pertanto la richiesta verrà bloccata se la destinazione corrisponde.