🔒 HTTP Security Headers

X-Content-Type-Options setzen

Verhindert MIME-Type-Sniffing — der Browser vertraut dem angegebenen Content-Type und raet nicht.

Risiko: Browser koennten Dateien falsch interpretieren (z.B. ein Bild als Script ausfuehren).

Apache / Nginx / IIS

Einzeiliger Header — einfachster Fix:

# Apache (.htaccess):
Header always set X-Content-Type-Options "nosniff"

# Nginx:
add_header X-Content-Type-Options "nosniff" always;

# IIS (web.config):
<customHeaders>
  <add name="X-Content-Type-Options" value="nosniff" />
</customHeaders>

Referenzen & weiterführende Links

MDN: X-Content-Type-Options