X-Content-Type-Options

提供: セキュリティ
移動: 案内検索
スポンサーリンク

ウェブサーバのHTTPレスポンスヘッダーに X-Content-Type-Options: nosniff を指定することで、ウェブブラウザは、コンテンツスニッフィング をやめます。ウェブブラウザがコンテンツの内容で自動的に処理方法を決めてしまうのをやめさせます。

読み方

X-Content-Type-Options
えっくす こんてんつ たいぷ おぷしょん

概要

X-Content-Type-Options は、ウェブブラウザコンテンツスニッフィングをやめさえるためのヘッダーです。

適切なコンテンツタイプをWebサーバーが返していない場合、 X-Content-Type-Options を指定すると、ページが期待した振る舞いをしないかもしれません。スクリプトやスタイルシートが読み込まれなくなるかもしれないからです。

Internet Explorer の振る舞い

サーバが HTTPレスポンスヘッダーに X-Content-Type-Options: nosniff を送信する場合、script(スクリプト) と stylesheet(スタイルシート) は、誤った MIMEタイプを拒否します。

下記は、 nosniff が指定された場合のInternet Explorer の振る舞いです。

Internet Explorer の場合、 MIME が text/css と一致しない場合、stylesheet を読み込みません。

script の読み込みは、MIME が以下のいずれかの値と一致しない場合、Internet Explorer は、scriptファイルを読み込みません。

  • application/ecmascript
  • application/javascript
  • application/x-javascript
  • text/ecmascript
  • text/javascript
  • text/jscript
  • text/x-javascript
  • text/vbs
  • text/vbscript

使い方

<IfModule mod_headers.c>
	Header always set X-Content-Type-Options nosniff
</IfModule>

関連項目




スポンサーリンク