X-Content-Type-Options für Laravel konfigurieren
Schritt-für-Schritt-Anleitung: X-Content-Type-Options in Laravel einrichten — mit Middleware-Code zum Kopieren und Best Practices.
X-Content-Type-Options in Laravel
X-Content-Type-Options: nosniff verhindert, dass Browser den MIME-Type einer Ressource erraten (MIME-Sniffing). Ohne diesen Header könnte ein Browser eine als Text deklarierte Datei als JavaScript ausführen — ein Einfallstor für XSS-Angriffe. Mit 10 von 166 Punkten im Web Security Check.
Die Implementierung in Laravel ist denkbar einfach: eine Zeile in der Middleware. Der Wert ist immer nosniff — es gibt keine anderen Optionen.
X-Content-Type-Options in der Middleware konfigurieren
Fügen Sie den Header in Ihrer SecurityHeaders-Middleware hinzu. Der Header wird bei jedem Response automatisch gesetzt.
// app/Http/Middleware/SecurityHeaders.php
$response->headers->set('X-Content-Type-Options', 'nosniff');Konfiguration verifizieren
Prüfen Sie den Header mit curl -sI https://ihre-domain.de | grep -i content-type-options.
Häufige Fehler
Fehlende Content-Type-Header
nosniff erzwingt den deklarierten MIME-Type. Wenn Ihre Laravel-Anwendung Dateien ohne korrekten Content-Type ausliefert, werden diese nicht geladen. Prüfen Sie besonders API-Responses und Datei-Downloads.
Header auf API-Routes vergessen
Stellen Sie sicher, dass die Middleware auch in der api-Middleware-Gruppe registriert ist. JSON-APIs ohne nosniff könnten MIME-Confusion-Angriffe ermöglichen.
Compliance-Relevanz
Wie steht Ihre Domain bei X-Content-Type-Options?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.