X-Content-Type-Options

script または stylesheet で読み込むファイルの MIME タイプが正しいものと一致しない限りファイルを読み込まない

Web ブラウザは本来、サーバから送られてきた HTTP レスポンスに記述されている「Content-Type」に基づいて、HTTP レスポンスをどのように処理するのかを決定

例えば「Content-Type:text/plain」であれば、Web ブラウザはこれをテキストとして扱い、レスポンスの中にスクリプト記述があってもスクリプトとしては実行しない

しかし Web ブラウザの中には、HTTP レスポンス全体を検査(sniffing)してコンテンツタイプを判断し、「Content-Type」を無視した動作を行うものも存在

この sniffing を防止するのが X-Content-Type-Options

「X-Content-Type-Options : nosniff」とすることで sniffing をやめさせ、「Content-Type」に合致しない動作を回避

ミドルウェア設定ベストプラクティス