X-Content-Type-Options ayuda a proteger contra ataques que aprovechan el navegador tratando de interpretar las respuestas HTTP con un Content-Type declarado incorrectamente.
Pero, ¿qué sucede cuando la respuesta HTTP establece el encabezado X-Content-Type-Options pero no el encabezado Content-Type ?
¿El navegador seguirá "oliendo" o tendrá un cierto valor predeterminado?
Encontró la respuesta en la misma página :
- Permita que mimeType sea el resultado de extraer un tipo MIME de la respuesta lista de encabezados
- Deja que el destino sea el destino de la solicitud.
- Si el destino es similar a un script y mimeType (ignorando parámetros) no es un tipo MIME de JavaScript, luego se devuelve bloqueado.
- Si el destino es "estilo" y mimeType (ignorando los parámetros) no es
text/css, entonces el retorno está bloqueado.- Devolución permitida.
Supongo que, dado que no hay un tipo MIME declarado, el paso 3 nunca vuelve bloqueado. En mi caso, tampoco hay un destino, por lo que terminamos en el paso 5 - > permitido.
Editar: En los pasos 3 y 4, un tipo mime vacío no será un tipo mime javascript o un tipo mime text / css. Por lo tanto, la solicitud se bloqueará si el destino coincide.