MIME-Typ

Ein MIME-Typ (Multipurpose Internet Mail Extensions, jetzt formal nur noch „Medientyp“ gemäß RFC 6838) ist eine zweiteilige Kennung im Format typ/untertyp, die einem Client mitteilt, welche Art von Daten er vor sich hat.

Gängige Beispiele:

• text/html — HTML-Dokument
• application/json — JSON-Daten
• image/png, image/jpeg, image/webp — Bildformate
• application/pdf — PDF-Dokument
• multipart/form-data — Datei-Upload-Nutzlast
• application/octet-stream — undurchsichtige Binärdaten; der „einfach Bytes, finde selbst heraus, was es ist“-Rückfall

HTTP-Antworten tragen MIME-Typen im Content-Type-Header. Data-URIs (genutzt von unserem Bild-zu-Base64-Tool) betten den MIME-Typ direkt ein: data:image/png;base64,iVBOR.... Browser nutzen den deklarierten MIME-Typ, um zu entscheiden, wie eine Ressource gerendert oder heruntergeladen wird.

Historische Anmerkung: MIME wurde ursprünglich für E-Mail-Anhänge definiert. Dieselbe Registry definiert nun Medientypen für das Web, Instant Messaging, RSS und die meisten modernen Protokolle.

Die IANA Media Types Registry: Jeder legitime MIME-Typ ist bei der Internet Assigned Numbers Authority registriert. Die Top-Level-Typen sind festgelegt (text, image, audio, video, application, multipart, message, model, font, example, plus das veraltete X--Präfix). Untertypen werden über einen IETF- oder Vendor-Tree-Registrierungsprozess hinzugefügt; application/vnd.openxmlformats-officedocument.wordprocessingml.document (der formale MIME-Typ für .docx) ist ein Vendor-Tree-Beispiel. Unbekannte Untertypen fallen auf application/octet-stream zurück, was meist eine Browser-Download-Aufforderung statt einer Inline-Darstellung auslöst.

MIME-Sniffing – der Sicherheitshaken: Wenn ein Server den falschen Content-Type zurückgibt, versuchten Browser früher, ihn aus den ersten Bytes der Antwort zu erraten. Dieses „Content-Sniffing“ ermöglichte seitenübergreifende Angriffe, bei denen ein von einem Nutzer hochgeladenes Bild als HTML oder JavaScript uminterpretiert werden konnte. Die Lösung ist X-Content-Type-Options: nosniff, was den Browser zwingt, den deklarierten Typ einzuhalten und die Ausführung nicht passender Inhalte zu verweigern. Moderne Web-Frameworks liefern diesen Header standardmäßig aus. Quelle: RFC 6838 — Media Type Specifications and Registration Procedures.

Parameter: charset, boundary, profile

Ein MIME-Typ kann nach einem Semikolon Parameter tragen. Der häufigste ist charset: Content-Type: text/html; charset=utf-8 teilt dem Browser mit, dass die Antwort HTML ist, kodiert als UTF-8. Ohne ihn fallen Browser auf veraltete Kodierungen zurück (in vielen Fällen Windows-1252), die Nicht-ASCII-Text verstümmeln. Für multipart/form-data-Uploads gibt der Parameter boundary das Trennzeichen zwischen den Teilen an: multipart/form-data; boundary=---WebKitFormBoundary7MA4YWxkTrZu0gW. JSON-LD nutzt einen profile-Parameter: application/ld+json; profile="https://www.w3.org/ns/activitystreams". Parameternamen sind nicht case-sensitiv; Werte sind bei den meisten bekannten Parametern nicht case-sensitiv, aber case-sensitiv beim Multipart-Boundary.

Die +Suffix-Konvention

RFC 6839 fügte eine Konvention für strukturierte Syntax-Suffixe hinzu, die neuen Medientypen erlaubt zu deklarieren, als welches generische Format sie geparst werden: application/atom+xml, application/vnd.api+json, image/svg+xml. Das Suffix teilt einem generischen Parser (einer XML- oder JSON-Bibliothek) mit, wie die Bytes zu lesen sind, selbst wenn er den spezifischen Vendor-Typ nicht kennt. Moderne Webstandards stützen sich stark darauf – jeder JSON-basierte API-Medientyp endet auf +json; jeder XML-basierte auf +xml. Stand 2026 listet die IANA-Registry mehr als 2.300 registrierte Medientypen über alle Top-Level-Kategorien, wobei der application/-Baum (über 1.800 Einträge) mit Abstand der größte ist. Quelle: IANA Media Types Registry.