「X-Content-Type-Options」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> ウェブサーバのHTTPレスポンスヘッダーに X-Content-Type-Options: nosniff を指定することで、[[ウ...」) |
|||
(同じ利用者による、間の1版が非表示) | |||
行1: | 行1: | ||
− | + | [[ウェブサーバ]]のHTTPレスポンスヘッダーに [[X-Content-Type-Options]]: nosniff を指定することで、[[ウェブブラウザ]]は、[[コンテンツスニッフィング]] をやめます。[[ウェブブラウザ]]がコンテンツの内容で自動的に処理方法を決めてしまうのをやめさせます。 | |
− | + | ||
− | + | ||
− | [[ウェブサーバ]] | + | |
− | 読み方 | + | '''読み方''' |
;[[X-Content-Type-Options]]: えっくす こんてんつ たいぷ おぷしょん | ;[[X-Content-Type-Options]]: えっくす こんてんつ たいぷ おぷしょん | ||
__TOC__ | __TOC__ | ||
== 概要 == | == 概要 == | ||
− | |||
[[X-Content-Type-Options]] は、[[ウェブブラウザ]]に[[コンテンツスニッフィング]]をやめさえるためのヘッダーです。 | [[X-Content-Type-Options]] は、[[ウェブブラウザ]]に[[コンテンツスニッフィング]]をやめさえるためのヘッダーです。 | ||
適切なコンテンツタイプを[[Webサーバー]]が返していない場合、 [[X-Content-Type-Options]] を指定すると、ページが期待した振る舞いをしないかもしれません。スクリプトやスタイルシートが読み込まれなくなるかもしれないからです。 | 適切なコンテンツタイプを[[Webサーバー]]が返していない場合、 [[X-Content-Type-Options]] を指定すると、ページが期待した振る舞いをしないかもしれません。スクリプトやスタイルシートが読み込まれなくなるかもしれないからです。 | ||
− | |||
== Internet Explorer の振る舞い == | == Internet Explorer の振る舞い == | ||
− | + | サーバが HTTPレスポンスヘッダーに [[X-Content-Type-Options]]: nosniff を送信する場合、script(スクリプト) と stylesheet(スタイルシート) は、誤った MIMEタイプを拒否します。 | |
− | サーバが HTTPレスポンスヘッダーに [[X-Content-Type-Options]]: nosniff | + | |
下記は、 nosniff が指定された場合の[[Internet Explorer]] の振る舞いです。 | 下記は、 nosniff が指定された場合の[[Internet Explorer]] の振る舞いです。 | ||
− | [[Internet Explorer]] の場合、 MIME が text/css | + | [[Internet Explorer]] の場合、 MIME が text/css と一致しない場合、stylesheet を読み込みません。 |
− | + | script の読み込みは、MIME が以下のいずれかの値と一致しない場合、[[Internet Explorer]] は、scriptファイルを読み込みません。 | |
* application/ecmascript | * application/ecmascript | ||
行33: | 行27: | ||
* text/vbs | * text/vbs | ||
* text/vbscript | * text/vbscript | ||
− | |||
== 使い方 == | == 使い方 == | ||
<syntaxhighlight lang="apache"> | <syntaxhighlight lang="apache"> | ||
行40: | 行33: | ||
</IfModule> | </IfModule> | ||
</syntaxhighlight> | </syntaxhighlight> | ||
− | |||
== 関連項目 == | == 関連項目 == | ||
− | |||
* [[有効なセキュリティに関するHTTPヘッダ]] | * [[有効なセキュリティに関するHTTPヘッダ]] | ||
+ | {{http}} | ||
+ | <!-- vim: filetype=mediawiki | ||
+ | --> |
2015年9月22日 (火) 20:56時点における最新版
ウェブサーバのHTTPレスポンスヘッダーに X-Content-Type-Options: nosniff を指定することで、ウェブブラウザは、コンテンツスニッフィング をやめます。ウェブブラウザがコンテンツの内容で自動的に処理方法を決めてしまうのをやめさせます。
読み方
- X-Content-Type-Options
- えっくす こんてんつ たいぷ おぷしょん
概要
X-Content-Type-Options は、ウェブブラウザにコンテンツスニッフィングをやめさえるためのヘッダーです。
適切なコンテンツタイプをWebサーバーが返していない場合、 X-Content-Type-Options を指定すると、ページが期待した振る舞いをしないかもしれません。スクリプトやスタイルシートが読み込まれなくなるかもしれないからです。
Internet Explorer の振る舞い
サーバが HTTPレスポンスヘッダーに X-Content-Type-Options: nosniff を送信する場合、script(スクリプト) と stylesheet(スタイルシート) は、誤った MIMEタイプを拒否します。
下記は、 nosniff が指定された場合のInternet Explorer の振る舞いです。
Internet Explorer の場合、 MIME が text/css と一致しない場合、stylesheet を読み込みません。
script の読み込みは、MIME が以下のいずれかの値と一致しない場合、Internet Explorer は、scriptファイルを読み込みません。
- application/ecmascript
- application/javascript
- application/x-javascript
- text/ecmascript
- text/javascript
- text/jscript
- text/x-javascript
- text/vbs
- text/vbscript
使い方
<IfModule mod_headers.c> Header always set X-Content-Type-Options nosniff </IfModule>