Back

Краткое руководство по MIME-типам и заголовкам Content-Type

OpenReplay Team OpenReplay Team

Nov 18, 2025 · 4 min read

Краткое руководство по MIME-типам и заголовкам Content-Type

Когда ваше JavaScript-приложение получает {"status": "success"}, но браузер обрабатывает это как обычный текст вместо JSON, вы столкнулись с проблемой MIME-типов. Та же проблема возникает, когда CSS-файлы не загружаются, изображения скачиваются вместо отображения или API возвращают данные в неожиданных форматах. Эти проблемы связаны с неправильно настроенными заголовками Content-Type и MIME-типами — системой, которую браузеры используют для интерпретации каждого фрагмента получаемых данных.

Это руководство объясняет, как работают HTTP media types, какие типы необходимы для современной веб-разработки и как предотвратить уязвимости безопасности с помощью правильной обработки типов и заголовка X-Content-Type-Options.

Ключевые выводы

  • Браузеры полагаются на заголовки Content-Type, а не на расширения файлов, для интерпретации ответов
  • Неправильные MIME-типы вызывают сбои CSS, блокировку JavaScript и ошибки парсинга API
  • Заголовок X-Content-Type-Options предотвращает опасные атаки через MIME sniffing
  • Современные браузеры строго проверяют MIME-типы в целях безопасности

Понимание структуры MIME-типов

MIME-тип (Multipurpose Internet Mail Extensions type) состоит из двух частей, разделённых косой чертой:

type/subtype

Тип (type) представляет общую категорию (text, image, application), а подтип (subtype) указывает точный формат (html, jpeg, json). Необязательные параметры могут предоставлять дополнительную информацию:

text/html; charset=utf-8
application/json; charset=utf-8

Ключевой принцип: Браузеры используют заголовок Content-Type, а не расширения файлов, чтобы определить, как обрабатывать ответы. Файл с именем data.txt, отданный с Content-Type: application/json, будет обработан как JSON, а не как обычный текст.

Основные MIME-типы для фронтенд-разработки

HTML, CSS и JavaScript

  • text/html - HTML-документы (всегда включайте charset)
  • text/css - Таблицы стилей (необходимо для работы тегов <link>)
  • text/javascript - JavaScript-файлы (современный стандарт, заменяющий application/javascript)

API и форматы данных

  • application/json - JSON-данные (наиболее распространённый формат API)
  • application/xml - XML-документы
  • application/x-www-form-urlencoded - Стандартная отправка форм
  • multipart/form-data - Формы с загрузкой файлов

Изображения и медиа

  • image/jpeg, image/png, image/gif - Стандартные форматы изображений
  • image/svg+xml - SVG-графика
  • image/webp, image/avif - Современные оптимизированные форматы
  • video/mp4, audio/mpeg - Распространённые медиа-типы

Шрифты

  • font/woff2, font/woff - Форматы веб-шрифтов
  • font/ttf, font/otf - Традиционные файлы шрифтов

Как серверы устанавливают заголовки Content-Type

Веб-серверы определяют заголовки Content-Type несколькими способами:

  1. Сопоставление расширений файлов - Серверы сопоставляют .html с text/html, .json с application/json
  2. Явная конфигурация - Разработчики устанавливают заголовки программно
  3. Значение по умолчанию - Неизвестные файлы по умолчанию получают application/octet-stream

Пример в Node.js/Express:

res.setHeader('Content-Type', 'application/json; charset=utf-8');
res.json({ status: 'success' });

Серверы статических файлов, такие как Nginx или Apache, используют конфигурационные файлы для сопоставления расширений с MIME-типами. CDN и сервисы объектного хранилища (S3, Cloudflare) обычно устанавливают их автоматически на основе расширений файлов.

Что происходит, когда MIME-типы неправильные

Неправильные заголовки Content-Type вызывают немедленные, видимые проблемы:

  • CSS игнорируется: Отдача CSS как text/plain предотвращает загрузку стилей
  • JavaScript блокируется: Неправильные типы вызывают CORS-ошибки или сбои выполнения
  • JSON парсится как текст: API возвращают строки вместо объектов
  • Изображения скачиваются: Браузер скачивает файлы вместо их отображения
  • Уязвимости безопасности: Неправильные типы позволяют XSS-атаки

Современные браузеры строго проверяют MIME-типы в целях безопасности. Chrome и Firefox откажутся выполнять таблицы стилей или скрипты с неправильными заголовками Content-Type, отображая ошибки в консоли вроде “Refused to apply style from ’…’ because its MIME type (‘text/plain’) is not a supported stylesheet MIME type.”

Безопасность: MIME Sniffing и X-Content-Type-Options

MIME sniffing происходит, когда браузеры игнорируют заголовок Content-Type и угадывают тип файла, исследуя его содержимое. Хотя иногда это полезно, такое поведение создаёт серьёзные риски безопасности.

Злоумышленник может загрузить файл с именем image.jpg, содержащий HTML и JavaScript. Если сервер отправляет Content-Type: image/jpeg, но браузер обнаруживает HTML-содержимое и отображает его, вредоносный скрипт выполняется.

Предотвращение MIME Sniffing

Всегда включайте заголовок X-Content-Type-Options:

X-Content-Type-Options: nosniff

Этот заголовок заставляет браузеры соблюдать объявленный Content-Type, предотвращая угадывание. Он особенно критичен для:

  • Контента, загруженного пользователями
  • Ответов API
  • Динамической генерации контента
  • Файлов, отдаваемых с CDN

Пример реализации:

// Express middleware
app.use((req, res, next) => {
  res.setHeader('X-Content-Type-Options', 'nosniff');
  next();
});

Устранение распространённых проблем

Проблема: API возвращает JSON как текст

Решение: Убедитесь, что сервер отправляет Content-Type: application/json

Проблема: Шрифты не загружаются при cross-origin запросах

Решение: Установите правильный MIME-тип и CORS-заголовки для файлов шрифтов

Проблема: SVG-изображения отображаются как текст

Решение: Используйте image/svg+xml, а не text/xml

Проблема: Вместо отображения запускается скачивание

Решение: Удалите заголовок Content-Disposition: attachment, используйте правильный MIME-тип

Инструменты отладки

  • Вкладка Network в DevTools браузера показывает фактические заголовки Content-Type
  • curl -I [url] проверяет заголовки ответа
  • Онлайн-валидаторы MIME-типов проверяют конфигурацию сервера

Заключение

Правильные MIME-типы и заголовки Content-Type являются фундаментальными для функциональности веба. Они определяют, будет ли браузер парсить, выполнять или скачивать контент. Установка правильных HTTP media types предотвращает сбои рендеринга, ошибки API и уязвимости безопасности. Помните: браузеры доверяют заголовкам Content-Type больше, чем расширениям файлов, MIME sniffing создаёт риски безопасности, а заголовок X-Content-Type-Options: nosniff необходим для production-приложений.

Для надёжных веб-приложений всегда явно устанавливайте заголовки Content-Type, проверяйте MIME-типы в вашем deployment pipeline и тестируйте в разных браузерах для обеспечения согласованного поведения.

Часто задаваемые вопросы

Браузеры игнорируют расширения файлов и используют только заголовок Content-Type. Ваш сервер должен явно отправлять Content-Type: application/json в заголовках ответа. Проверьте конфигурацию сервера или добавьте заголовок программно в вашем backend-коде.

Без этого заголовка браузеры могут выполнять MIME sniffing и выполнять вредоносный код, замаскированный под безопасные типы файлов. Это создаёт XSS-уязвимости, особенно с пользовательскими загрузками. Всегда устанавливайте X-Content-Type-Options: nosniff, чтобы заставить браузеры соблюдать ваш объявленный Content-Type.

Хотя application/javascript когда-то рекомендовался, текущая спецификация HTML предпочитает text/javascript для JavaScript-файлов. Современные браузеры принимают оба варианта, но text/javascript обеспечивает максимальную совместимость и соответствует текущим стандартам.

Gain control over your UX

See how users are using your site as if you were sitting next to them, learn and iterate faster with OpenReplay. — the open-source session replay tool for developers. Self-host it in minutes, and have complete control over your customer data. Check our GitHub repo and join the thousands of developers in our community.

OpenReplay

More articles from OpenReplay Blog