X-Content-Type-Options设置后为什么响应头里看不到这个字段？

Newb.爱静提问于 2026-02-05 07:23:39 阅读 84

安全

我在nginx里加了X-Content-Type-Options: nosniff，但用开发者工具看响应头时根本找不到这个字段，明明其他自定义头都显示了，是不是配置位置有问题？

尝试过把代码写在server块和location块里都试了：

server {
    listen 80;
    add_header X-Content-Type-Options nosniff always;
    location / {
        add_header X-Custom-Test test-value;
    }
}

结果测试页面的Network面板里能看到X-Custom-Test，但X-Content-Type-Options完全没出现，难道这个头被浏览器拦截了？还是nginx版本不支持？

我来解答赞 12 收藏

反馈

2 条解答

设计师婧妍 Lv1

你遇到这个问题其实挺典型的，我之前也踩过这个坑。首先可以明确告诉你，X-Content-Type-Options 这个头不会被浏览器拦截，也不是 nginx 不支持，而是和 add_header 指令在 nginx 中的行为机制有关。

问题的关键在于：你在 location 块里设置了 add_header，会导致 server 块里的 add_header 失效，除非加上 always 标志并且处理得当。

我们先看你的配置：

server {

    listen 80;

    add_header X-Content-Type-Options nosniff always;

    location / {

        add_header X-Custom-Test test-value;

    }

}

表面上看你是加了 always，但这里有个坑点：虽然 X-Content-Type-Options 是写在 server 层，但它只会在没有其他 add_header 覆盖的时候生效。而一旦你在某个 location 里用了 add_header，nginx 就认为你要自己管理响应头了——于是 server 层的那些 add_header（即使有 always）在某些情况下也不会合并进去。

原理是这样：nginx 的 add_header 指令不是“累积”的，它是每个 location 独立作用的。如果你在一个 location 里使用了 add_header，那么只有那个 location 里定义的 header 才会返回，除非你在每一个层级都显式地重新添加。

所以你现在能看到 X-Custom-Test 是因为你在 location 里定义了它，但它“吃掉”了其他的 header 添加逻辑。

解决方案很简单：把需要的 header 都放在同一个 location 里加，或者确保每一层都包含所需的安全头。

推荐做法一：统一在 location 里添加所有 header

server {

    listen 80;



    location / {

        # 同时加上两个头，避免遗漏

        add_header X-Content-Type-Options nosniff always;

        add_header X-Custom-Test test-value always;

        

        # 其他代理或根目录配置

        root /var/www/html;

        index index.html;

    }

}

或者更合理一点的做法二：如果多个 location 都要用，可以用 include 抽离公共头

新建一个文件比如 /etc/nginx/conf.d/security_headers.conf：

add_header X-Content-Type-Options nosniff always;

add_header X-Frame-Options DENY always;

add_header X-XSS-Protection "1; mode=block" always;

然后在 server 或 location 里引用：

server {

    listen 80;



    location / {

        include /etc/nginx/conf.d/security_headers.conf;

        add_header X-Custom-Test test-value always;



        root /var/www/html;

    }

}

注意：include 的方式只能用在允许指令出现的地方，一般放在 location 内部最稳妥。

还有一个细节要注意：always 参数的作用是让 header 在非 2xx 和 3xx 响应中也生效（比如 404、500）。对于静态资源或错误页面你也想带上安全头，就必须加 always。否则像 404 页面可能就不带这些 header 了。

验证方法：
1. 改完配置后别忘了 reload：sudo nginx -s reload
2. 用 curl 测试最准：curl -I http://your-domain.com
3. 查看输出里有没有 X-Content-Type-Options: nosniff

开发者工具 Network 面板有时候对 header 显示不全（尤其是重定向或预检请求），建议用 curl 或 postman 这类工具确认原始响应头。

总结一下：
- 不是因为浏览器过滤，也不是 nginx 版本问题
- 是 add_header 的作用域机制导致 server 层的头被 location 覆盖了
- 解决办法就是在同一个 location 里把所有要加的头都写全，或者用 include 统一管理
- 记得 reload 并用 curl 验证，不要只依赖浏览器 DevTools

改完之后你应该就能看到 X-Content-Type-Options 正常出现了。

2026-02-12 07:06

Dev · 红芹 Lv1

我之前踩过这个坑，原因一般出在 add_header 的生效条件上。你配置的 X-Content-Type-Options 没有生效，很可能是由于它没有加在正确的位置，或者被某些默认行为覆盖了。

重点在于：add_header 指令在 nginx 中默认只对 200、204、301、302、304 这些状态码响应生效。而 X-Content-Type-Options 通常用于防御 MIME 类型嗅探，但如果你的响应内容是 403、404 或者其他非标准状态码，那这个 header 就不会被加上去。

另外你加了 always 参数，说明你希望无论状态码是什么都加上这个 header。但要注意，某些旧版本的 nginx（比如 1.7.5 之前）不支持 always 参数，可以尝试升级 nginx 或者确认版本。

我建议你改成这样试试：

server {

    listen 80;



    add_header X-Content-Type-Options nosniff;



    location / {

        add_header X-Custom-Test test-value;

    }

}

先去掉 always 看看能不能生效。如果还是看不到，再查 nginx 版本和响应状态码。可以用 curl -I 来确认响应头有没有正确返回，避免被浏览器 DevTools 干扰。浏览器本身不会“隐藏”这个头，所以问题应该还是出在服务端响应上。

2026-02-05 08:01