"X-Content-Type-Options：nosniff 与 MIME 安全治理"

概述`X-Content-Type-Options: nosniff` 防止浏览器对资源进行类型嗅探，减少 XSS 与内容混淆风险。服务器必须为脚本/样式/字体等提供正确的 `Content-Type`，同时前端声明 `type` 与 `as`。示例与部署X-Content-Type-Options: nosniff 工程建议正确类型：为 JS/CSS/JSON/字体设置准确 `Content-Type`；避免通用 `text/plain`。与 SRI/CSP 协同：结合 SRI 与 CSP 收紧资源治理；阻止非预期执行。观测：通过 DevTools 检查资源类型与错误；结合 Reporting API 收集违规。参考与验证MDN X-Content-Type-Options 文档：https://developer.mozilla.org/docs/Web/HTTP/Headers/X-Content-Type-OptionsOWASP 相关建议：https://owasp.org/www-project-secure-headers/