X-Content-Type-Options

ウェブサーバのHTTPレスポンスヘッダーに X-Content-Type-Options: nosniff を指定することで、ウェブブラウザは、コンテンツスニッフィング をやめます。ウェブブラウザがコンテンツの内容で自動的に処理方法を決めてしまうのをやめさせます。

読み方

X-Content-Type-Options

えっくす こんてんつ たいぷ おぷしょん

概要

X-Content-Type-Options は、ウェブブラウザにコンテンツスニッフィングをやめさえるためのヘッダーです。

適切なコンテンツタイプをWebサーバーが返していない場合、 X-Content-Type-Options を指定すると、ページが期待した振る舞いをしないかもしれません。スクリプトやスタイルシートが読み込まれなくなるかもしれないからです。

Internet Explorer の振る舞い

サーバが HTTPレスポンスヘッダーに X-Content-Type-Options: nosniff を送信する場合、script(スクリプト) と stylesheet(スタイルシート) は、誤った MIMEタイプを拒否します。

下記は、 nosniff が指定された場合のInternet Explorer の振る舞いです。

Internet Explorer の場合、 MIME が text/css と一致しない場合、stylesheet を読み込みません。

script の読み込みは、MIME が以下のいずれかの値と一致しない場合、Internet Explorer は、scriptファイルを読み込みません。

• application/ecmascript
• application/javascript
• application/x-javascript
• text/ecmascript
• text/javascript
• text/jscript
• text/x-javascript
• text/vbs
• text/vbscript

使い方

<IfModule mod_headers.c>
	Header always set X-Content-Type-Options nosniff
</IfModule>

関連項目

• 有効なセキュリティに関するHTTPヘッダ
• Hypertext Transfer Protocol (HTTP)
• HTTPS
  • Transport Layer Security (TLS)
  • Secure Sockets Layer (SSL)
  • SPDY
• HTTP cookie
• 同一生成元ポリシー