「X-Content-Type-Options」の版間の差分

提供: セキュリティ
移動: 案内検索
 
行1: 行1:
[[ウェブサーバ]]の[[HTTPレスポンスヘッダー]]に [[X-Content-Type-Options]]: nosniff  を指定することで、[[ウェブブラウザ]]は、[[コンテンツスニッフィング]] をやめます。[[ウェブブラウザ]]がコンテンツの内容で自動的に処理方法を決めてしまうのをやめさせます。
+
[[ウェブサーバ]]のHTTPレスポンスヘッダーに [[X-Content-Type-Options]]: nosniff  を指定することで、[[ウェブブラウザ]]は、[[コンテンツスニッフィング]] をやめます。[[ウェブブラウザ]]がコンテンツの内容で自動的に処理方法を決めてしまうのをやめさせます。
  
 
'''読み方'''
 
'''読み方'''
行9: 行9:
  
 
適切なコンテンツタイプを[[Webサーバー]]が返していない場合、 [[X-Content-Type-Options]] を指定すると、ページが期待した振る舞いをしないかもしれません。スクリプトやスタイルシートが読み込まれなくなるかもしれないからです。
 
適切なコンテンツタイプを[[Webサーバー]]が返していない場合、 [[X-Content-Type-Options]] を指定すると、ページが期待した振る舞いをしないかもしれません。スクリプトやスタイルシートが読み込まれなくなるかもしれないからです。
 
 
== Internet Explorer の振る舞い ==
 
== Internet Explorer の振る舞い ==
サーバが HTTPレスポンスヘッダーに [[X-Content-Type-Options]]: nosniff を送信する場合、[[script]] [[stylesheet]] は、誤った MIMEタイプを拒否します。
+
サーバが HTTPレスポンスヘッダーに [[X-Content-Type-Options]]: nosniff を送信する場合、script(スクリプト) と stylesheet(スタイルシート) は、誤った MIMEタイプを拒否します。
  
 
下記は、 nosniff が指定された場合の[[Internet Explorer]] の振る舞いです。
 
下記は、 nosniff が指定された場合の[[Internet Explorer]] の振る舞いです。
  
[[Internet Explorer]] の場合、 MIME が text/css と一致しない場合、[[stylesheet]] を読み込みません。
+
[[Internet Explorer]] の場合、 MIME が text/css と一致しない場合、stylesheet を読み込みません。
  
[[script]] の読み込みは、MIME が以下のいずれかの値と一致しない場合、[[Internet Explorer]] は、[[script]]ファイルを読み込みません。
+
script の読み込みは、MIME が以下のいずれかの値と一致しない場合、[[Internet Explorer]] は、scriptファイルを読み込みません。
  
 
* application/ecmascript
 
* application/ecmascript
行28: 行27:
 
* text/vbs
 
* text/vbs
 
* text/vbscript
 
* text/vbscript
 
 
== 使い方 ==
 
== 使い方 ==
 
<syntaxhighlight lang="apache">
 
<syntaxhighlight lang="apache">
行35: 行33:
 
</IfModule>
 
</IfModule>
 
</syntaxhighlight>
 
</syntaxhighlight>
 
 
== 関連項目 ==
 
== 関連項目 ==
 
* [[有効なセキュリティに関するHTTPヘッダ]]
 
* [[有効なセキュリティに関するHTTPヘッダ]]
 
{{http}}
 
{{http}}
<!-- vim: filetype=mediawiki -->
+
<!-- vim: filetype=mediawiki
 +
-->

2015年9月22日 (火) 20:56時点における最新版

ウェブサーバのHTTPレスポンスヘッダーに X-Content-Type-Options: nosniff を指定することで、ウェブブラウザは、コンテンツスニッフィング をやめます。ウェブブラウザがコンテンツの内容で自動的に処理方法を決めてしまうのをやめさせます。

読み方

X-Content-Type-Options
えっくす こんてんつ たいぷ おぷしょん

概要

X-Content-Type-Options は、ウェブブラウザコンテンツスニッフィングをやめさえるためのヘッダーです。

適切なコンテンツタイプをWebサーバーが返していない場合、 X-Content-Type-Options を指定すると、ページが期待した振る舞いをしないかもしれません。スクリプトやスタイルシートが読み込まれなくなるかもしれないからです。

Internet Explorer の振る舞い

サーバが HTTPレスポンスヘッダーに X-Content-Type-Options: nosniff を送信する場合、script(スクリプト) と stylesheet(スタイルシート) は、誤った MIMEタイプを拒否します。

下記は、 nosniff が指定された場合のInternet Explorer の振る舞いです。

Internet Explorer の場合、 MIME が text/css と一致しない場合、stylesheet を読み込みません。

script の読み込みは、MIME が以下のいずれかの値と一致しない場合、Internet Explorer は、scriptファイルを読み込みません。

  • application/ecmascript
  • application/javascript
  • application/x-javascript
  • text/ecmascript
  • text/javascript
  • text/jscript
  • text/x-javascript
  • text/vbs
  • text/vbscript

使い方

<IfModule mod_headers.c>
	Header always set X-Content-Type-Options nosniff
</IfModule>

関連項目