X-Content-Type-Options Inspect
X-Content-Type-Options をブラウザ内で診断し、`nosniff` の有無と不正値を確認します。入力はサーバーへ送信しません。
状態
ブラウザ内で処理します。入力はサーバーへ送信しません。
使い方
X-Content-Type-Options を貼り付けて「解析」。nosniff の有効判定と不正値を表示します。
注意(このツール)
- X-Content-Type-Options: のヘッダー行でも、値のみでも解析できます。
このページについて
何をするツール?
X-Content-Type-Options の値を解析し、`nosniff` が正しく設定されているかを確認します。
不正な値や複数値を検出し、MIME sniffing 対策が意図通りかを点検できます。
使いどころ
- セキュリティヘッダー監査で `nosniff` の漏れを確認したい
- Content-Type 誤設定がある環境で挙動不一致を切り分けたい
- CDNやリバースプロキシ配下でヘッダー変換の影響を確認したい
基本の考え方
- `X-Content-Type-Options: nosniff` はブラウザのMIME推測を抑制します。
- サーバーが返す Content-Type をより厳格に扱うため、誤配信時のリスク低減に寄与します。
診断フロー(推奨)
- レスポンスヘッダーを貼り付けて `nosniff` の有無を確認
- 不正値・複数値が出たら配信経路(アプリ/CDN)を確認
- 必要に応じて Content-Type Inspect と併用し、MIME宣言側も確認
よくある失敗
- `nosniff` を設定したつもりで別値を配信している
- 複数ヘッダー重複で最終値が不明瞭になっている
- Content-Type 側の誤りを放置して `nosniff` だけで解決しようとする
このツールでできること
- nosniff の有効判定
- 未知・不正トークンの検出
- 監査向けの要約表示
注意(運用)
- nosniff は万能ではありません。CSPや適切な MIME 配信と併用してください。
- 静的アセット配信では拡張子と MIME マッピングの整備が重要です。
参照仕様
- MDN: X-Content-Type-Options
- MIME Sniffing Standard
FAQ
このヘッダーの推奨値は?
通常は `nosniff` 一択です。値の揺れや複数指定は避けてください。
Content-Type が正しければ不要ですか?
防御層として併用するのが一般的です。宣言ミス時の被害抑制に有効です。
参考リンク
次に見る(診断順)
site_map ルールに基づいて、次に確認すべきページを表示しています。
- Content-Type Inspect — Content-Type を解析してMIME/charsetを確認
- Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
- Security Headers Fix Plan — 優先度付きの修正ステップを作成
- CSP Inspect — CSPディレクティブを分解して評価
- Response Headers Parser — レスポンスヘッダーを構造化解析
- nosniffでJS/CSSがブロックされる時の診断手順 — Content-Type と nosniff の不一致、404/302混入、配信経路の上書きを切り分ける
- Response Headers系ツールの使い分け — Retry-After / Server-Timing / Link / Content-Type / nosniff を症状別に切り分ける
- X-Frame-Options Inspect — X-Frame-Options を解析してクリックジャッキング対策を確認
同テーマの導線
セキュリティヘッダー
不足ヘッダーの検出から修正計画まで一気に進める
- Security Headers Audit — 主要セキュリティヘッダーの有無を一括監査
- Security Headers Recommendation — 不足ヘッダーに対する推奨値を提案
- Security Headers Fix Plan — 優先度付きの修正ステップを作成
- CSP Nonce/Hash Helper — CSP用 nonce/hash を生成して照合
- CSP Builder — テンプレートからCSPを組み立て
- CSP Report Analyzer — CSPレポートJSONを解析して違反傾向を把握
- CSP Inspect — CSPディレクティブを分解して評価
- HSTS Inspect — HSTS設定を解析してHTTPS強制を確認
- Permissions-Policy Inspect — Permissions-Policy を解析して機能制限を確認
- Referrer-Policy Inspect — Referrer-Policy を解析して送信範囲を確認
- X-Frame-Options Inspect — X-Frame-Options を解析してクリックジャッキング対策を確認
レスポンスヘッダー診断
生ヘッダーから Retry-After / Server-Timing / Link / Content-Type を段階的に解析
- HTTP Header Parser — 生ヘッダーを構造化して一覧化
- Response Headers Parser — レスポンスヘッダーを構造化解析
- Set-Cookie Inspect — Set-Cookie 属性を解析して配布方針を確認
- Cookie Domain/Path Matcher — Domain/Path/Secure 条件でCookie送信可否を判定
- SameSite Cookie Simulator — SameSite と文脈からCookie送信可否をシミュレーション
- Set-Cookie Conflict Checker — 同名Cookie競合と上書きリスクを検出
- Cookie Size Checker — Cookie ヘッダーサイズを見積もり上限超過を点検
- Retry-After Inspect — Retry-After を解析して再試行待機を確認
- Server-Timing Inspect — Server-Timing を分解して遅延指標を確認
- Link Header Inspect — Link ヘッダーを解析して rel/as/type を確認
- Content-Type Inspect — Content-Type を解析してMIME/charsetを確認
- HTTP Status Inspect — HTTPステータスコードを解析して対処方針を確認
Example
X-Content-Type-Options: nosniff