X-Download-Options
IEの作った脆弱性への対策という位置づけ
IEが死んだ今は気にしなくて良いはずmrsekut.icon
IEはダウンロードしたファイルに対して、ポップアップを表示して以下の3つの選択肢を表示する
開く
保存
キャンセル
https://gyazo.com/ae2d6e5bfec96dc3b1fc55d8dd3954c4 http://niyodiary.cocolog-nifty.com/blog/2010/03/aspnetcie-4298.html
ここで、「開く」を選択するとブラウザで開くらしい
この挙動見たこと無いし、説明している文章もないので具体的にはよくわからんmrsekut.icon
とにかくブラウザで直接開くことでInjectionができてしまうらしい
X-Download-Options: noopenを指定すると
https://gyazo.com/abc5ad3399432d7003fde2edccd952fe http://niyodiary.cocolog-nifty.com/blog/2010/03/aspnetcie-4298.html
そもそも「開く」という選択肢が消え、いったんローカルに保存することになる
こうするこでWeb上のコンテキストで実行されないので安全になるらしい
ここもいまいちよくわからんmrsekut.icon
参考
mdn
ファイルを直接開くのを禁止してセキュリティ向上 (X-Download-Options) - 理系学生日記