Parameter:
DOMINO_X_CONTENT_TYPE_OPTIONSKurzbeschreibung: Setzt den
X-Content-Type-Options-Header (typisch nosniff) – verhindert MIME-Type-Sniffing durch Browser.Steckbrief
Parameter | DOMINO_X_CONTENT_TYPE_OPTIONS |
Kategorie | HTTP / Web |
Komponente | Server |
Verfügbar seit | 12.0 |
Unterstützte Versionen | 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Web Site- / Internet Site-Dokument |
Mögliche Werte | typisch nosniff (anderer Wert ist quasi nie sinnvoll) |
Beschreibung
Mit
DOMINO_X_CONTENT_TYPE_OPTIONS schreibt der HTTP-Task den Sicherheits-Header X-Content-Type-Options in jede Antwort. Der Wert nosniff weist Browser an, den vom Server gemeldeten Content-Type strikt zu respektieren und keine eigene Inhaltstyp-Erkennung („MIME-Sniffing") durchzuführen. Das verhindert eine Klasse von Angriffen, bei denen z. B. eine als Bild deklarierte Datei vom Browser als Skript ausgeführt wird.Beispiel-Konfiguration
DOMINO_X_CONTENT_TYPE_OPTIONS=nosniff
Hinweise & Stolperfallen
- Greift erst nach
restart task http.
- Der Header sollte praktisch überall gesetzt sein – ein Wegfall verschlechtert die Bewertung in Security-Scannern (Observatory, securityheaders.com) deutlich.
- Stellt sicher, dass alle ausgelieferten Inhalte einen korrekten
Content-Typehaben – sonst können Browser sie ablehnen.
- Wirkt global; site-spezifisch über Web-Site-Rule-Dokumente überschreibbar.