X-Content-Type-Options
1つしかdirectiveが存在しないmrsekut.icon
directive
IEでは、Content-Typeの指定を無視して、自動判定したMIME Typeを使用する
そうすると、XSSの恐れがある
コレに対して、nosniffを付けると、「Content-Typeの指定を無視」しなくなる
ほぼほぼIEの謎仕様を防止するためのものになっているmrsekut.icon
IEが死んだ今、IEサポート外なら指定しなくてもいいんじゃない?という気もする
そもそもサポート外で起きた脆弱性は誰の責任になるのか #??