情報アイランド

「情報を制する者は世界を制す」をモットーに様々な情報を提供することを目指すブログです。現在はプログラミング関連情報が多めですが、投資関連情報も取り扱っていきたいです。

X-Content-Type-Options: nosniffについて

X-Content-Type-OptionsとはHTTPレスポンスヘッダのフィールドの1つであり、値としてnosniffを指定します。

このフィールドは一部のブラウザがHTTPレスポンスボディの内容の種類を独自判定するのを無効化するために存在しています。

一部のブラウザはHTTPレスポンスヘッダのContent-Typeフィールドが指定されている場合であってもレスポンスボディの内容の種類を独自に判定することがあります。

そのような場合、Content-Typeフィールドに指定されているものとは異なる種類のコンテンツとしてレスポンスボディの内容が解釈され、表示される可能性があり、この点が脆弱性となる可能性があります。

たとえば、画像データやテキストデータをHTMLドキュメントと誤判定することによるクロスサイトスクリプティングの発生の可能性があります。

そのため、HTTPレスポンスを返す際には必ずヘッダのX-Content-Type-Optionsフィールドにnosniffを指定して返すようにします

pizyumi
プログラミング歴19年のベテランプログラマー。業務システム全般何でも作れます。現在はWeb系の技術を勉強中。
スポンサーリンク

-web