security_headers_text_types

Директива security_headers_text_types в NGINX определяет список типов MIME, для которых в процессе формирования ответа будут применяться заголовки безопасности. Когда эта директива установлена, сервер проверяет Content-Type ответа и применяет указанные заголовки безопасности только к совпадающим типам. Это особенно полезно, чтобы гарантировать, что такие заголовки, как X-Frame-Options, X-XSS-Protection и другие, отправляются только для соответствующих типов ответов, повышая безопасность и предотвращая отправку ненужных заголовков для медиатипов, где они не применимы, например CSS или изображений.

Директива принимает один или несколько типов MIME в качестве аргументов и может быть настроена внутри директив http, server или location. Например, распространённая конфигурация может включать указание текстовых типов, таких как text/html, application/xhtml+xml и text/xml, чтобы заголовки безопасности применялись только к HTML‑контенту — ко всем типам, которые выигрывают от усиленных заголовков безопасности. Напротив, бинарные типы обычно следует исключать из этого списка, чтобы избежать отправки заголовков туда, где они не приносят пользы в плане безопасности.

По умолчанию у этой директивы может не быть указанных типов MIME, поэтому при её опущении модуль может использовать преднастроенный набор, основанный на типичных потребностях веб‑приложений. Администраторам важно учитывать свои типы контента при настройке этой директивы, чтобы правильно сбалансировать безопасность и производительность.