Back

Guide rapide des types MIME et des en-têtes Content-Type

OpenReplay Team OpenReplay Team

Nov 18, 2025 · 4 min read

Guide rapide des types MIME et des en-têtes Content-Type

Lorsque votre application JavaScript reçoit {"status": "success"} mais que le navigateur le traite comme du texte brut au lieu de JSON, vous êtes confronté à un problème de type MIME. Le même problème se produit lorsque les fichiers CSS ne se chargent pas, les images se téléchargent au lieu de s’afficher, ou les API retournent des données dans des formats inattendus. Ces problèmes proviennent d’en-têtes Content-Type et de types MIME mal configurés—le système que les navigateurs utilisent pour interpréter chaque donnée qu’ils reçoivent.

Ce guide explique comment fonctionnent les types de médias HTTP, quels types vous devez utiliser pour le développement web moderne, et comment prévenir les vulnérabilités de sécurité grâce à une gestion appropriée des types et à l’en-tête X-Content-Type-Options.

Points clés à retenir

  • Les navigateurs s’appuient sur les en-têtes Content-Type, et non sur les extensions de fichiers, pour interpréter les réponses
  • Des types MIME incorrects provoquent des échecs CSS, le blocage de JavaScript et des erreurs d’analyse d’API
  • L’en-tête X-Content-Type-Options empêche les attaques dangereuses par détection de type MIME
  • Les navigateurs modernes appliquent strictement la vérification des types MIME pour des raisons de sécurité

Comprendre la structure des types MIME

Un type MIME (Multipurpose Internet Mail Extensions type) se compose de deux parties séparées par une barre oblique :

type/subtype

Le type représente la catégorie générale (text, image, application), tandis que le sous-type spécifie le format exact (html, jpeg, json). Des paramètres optionnels peuvent fournir des informations supplémentaires :

text/html; charset=utf-8
application/json; charset=utf-8

Principe clé : Les navigateurs utilisent l’en-tête Content-Type, et non les extensions de fichiers, pour déterminer comment traiter les réponses. Un fichier nommé data.txt servi avec Content-Type: application/json sera analysé comme du JSON, et non comme du texte brut.

Types MIME essentiels pour le développement frontend

HTML, CSS et JavaScript

  • text/html - Documents HTML (toujours inclure charset)
  • text/css - Feuilles de style (requis pour que les balises <link> fonctionnent)
  • text/javascript - Fichiers JavaScript (standard moderne, remplaçant application/javascript)

Formats d’API et de données

  • application/json - Données JSON (format d’API le plus courant)
  • application/xml - Documents XML
  • application/x-www-form-urlencoded - Soumissions de formulaires standard
  • multipart/form-data - Formulaires avec téléchargement de fichiers

Images et médias

  • image/jpeg, image/png, image/gif - Formats d’image standard
  • image/svg+xml - Graphiques SVG
  • image/webp, image/avif - Formats optimisés modernes
  • video/mp4, audio/mpeg - Types de médias courants

Polices

  • font/woff2, font/woff - Formats de polices web
  • font/ttf, font/otf - Fichiers de polices traditionnels

Comment les serveurs définissent les en-têtes Content-Type

Les serveurs web déterminent les en-têtes Content-Type par plusieurs méthodes :

  1. Mappage des extensions de fichiers - Les serveurs mappent .html vers text/html, .json vers application/json
  2. Configuration explicite - Les développeurs définissent les en-têtes par programmation
  3. Valeur par défaut - Les fichiers inconnus utilisent par défaut application/octet-stream

Exemple en Node.js/Express :

res.setHeader('Content-Type', 'application/json; charset=utf-8');
res.json({ status: 'success' });

Les serveurs de fichiers statiques comme Nginx ou Apache utilisent des fichiers de configuration pour mapper les extensions aux types MIME. Les CDN et les services de stockage d’objets (S3, Cloudflare) les définissent généralement automatiquement en fonction des extensions de fichiers.

Que se passe-t-il lorsque les types MIME sont incorrects

Des en-têtes Content-Type incorrects provoquent des problèmes immédiats et visibles :

  • CSS ignoré : Servir du CSS en tant que text/plain empêche le chargement des styles
  • JavaScript bloqué : Des types incorrects déclenchent des erreurs CORS ou des échecs d’exécution
  • JSON analysé comme texte : Les API retournent des chaînes au lieu d’objets
  • Images téléchargées : Le navigateur télécharge les fichiers au lieu de les afficher
  • Vulnérabilités de sécurité : Des types incorrects permettent des attaques XSS

Les navigateurs modernes appliquent strictement la vérification des types MIME pour des raisons de sécurité. Chrome et Firefox refuseront d’exécuter des feuilles de style ou des scripts avec des en-têtes Content-Type incorrects, affichant des erreurs de console comme « Refused to apply style from ’…’ because its MIME type (‘text/plain’) is not a supported stylesheet MIME type. »

Sécurité : détection de type MIME et X-Content-Type-Options

La détection de type MIME (MIME sniffing) se produit lorsque les navigateurs ignorent l’en-tête Content-Type et devinent le type de fichier en examinant son contenu. Bien que parfois utile, ce comportement crée de sérieux risques de sécurité.

Un attaquant pourrait télécharger un fichier nommé image.jpg contenant du HTML et du JavaScript. Si le serveur envoie Content-Type: image/jpeg mais que le navigateur détecte du contenu HTML et le rend, le script malveillant s’exécute.

Prévenir la détection de type MIME

Incluez toujours l’en-tête X-Content-Type-Options :

X-Content-Type-Options: nosniff

Cet en-tête force les navigateurs à respecter le Content-Type déclaré, les empêchant de deviner. Il est particulièrement critique pour :

  • Le contenu téléchargé par les utilisateurs
  • Les réponses d’API
  • La génération de contenu dynamique
  • Les fichiers servis depuis des CDN

Exemple d’implémentation :

// Middleware Express
app.use((req, res, next) => {
  res.setHeader('X-Content-Type-Options', 'nosniff');
  next();
});

Résolution des problèmes courants

Problème : L’API retourne du JSON comme texte

Solution : Assurez-vous que le serveur envoie Content-Type: application/json

Problème : Les polices ne se chargent pas en cross-origin

Solution : Définissez le type MIME correct et les en-têtes CORS pour les fichiers de polices

Problème : Les images SVG s’affichent comme du texte

Solution : Utilisez image/svg+xml, pas text/xml

Problème : Les téléchargements se déclenchent au lieu de l’affichage

Solution : Supprimez l’en-tête Content-Disposition: attachment, utilisez le type MIME correct

Outils de débogage

  • L’onglet Réseau des DevTools du navigateur affiche les en-têtes Content-Type réels
  • curl -I [url] inspecte les en-têtes de réponse
  • Les validateurs de types MIME en ligne vérifient la configuration du serveur

Conclusion

Des types MIME et des en-têtes Content-Type corrects sont fondamentaux pour le fonctionnement du web. Ils déterminent si les navigateurs analysent, exécutent ou téléchargent le contenu. Définir des types de médias HTTP appropriés prévient les échecs de rendu, les erreurs d’API et les vulnérabilités de sécurité. Rappelez-vous : les navigateurs font confiance aux en-têtes Content-Type plutôt qu’aux extensions de fichiers, la détection de type MIME crée des risques de sécurité, et l’en-tête X-Content-Type-Options: nosniff est essentiel pour les applications en production.

Pour des applications web fiables, définissez toujours explicitement les en-têtes Content-Type, validez les types MIME dans votre pipeline de déploiement, et testez sur différents navigateurs pour garantir un comportement cohérent.

FAQ

Les navigateurs ignorent les extensions de fichiers et utilisent uniquement l'en-tête Content-Type. Votre serveur doit explicitement envoyer Content-Type: application/json dans les en-têtes de réponse. Vérifiez la configuration de votre serveur ou ajoutez l'en-tête par programmation dans votre code backend.

Sans cet en-tête, les navigateurs peuvent effectuer une détection de type MIME et exécuter du code malveillant déguisé en types de fichiers sûrs. Cela crée des vulnérabilités XSS, en particulier avec les téléchargements d'utilisateurs. Définissez toujours X-Content-Type-Options: nosniff pour forcer les navigateurs à respecter votre Content-Type déclaré.

Bien qu'application/javascript ait été autrefois recommandé, la spécification HTML actuelle préfère text/javascript pour les fichiers JavaScript. Les navigateurs modernes acceptent les deux, mais text/javascript garantit une compatibilité maximale et suit les standards actuels.

Gain control over your UX

See how users are using your site as if you were sitting next to them, learn and iterate faster with OpenReplay. — the open-source session replay tool for developers. Self-host it in minutes, and have complete control over your customer data. Check our GitHub repo and join the thousands of developers in our community.

OpenReplay

More articles from OpenReplay Blog