Content-Typeとは?
- HTTPレスポンスヘッダに付与する属性。
- 返却するファイル形式が何なのか?、を知らせる目的がある。
# Content-Typeの例
text/plain → テキストファイル
text/html → HTMLファイル
application/json → JSONファイル
application/pdf → PDFファイル
X-Content-Type-Options:nosniffとは?
- この属性を付与するとファイルの内容をContent-Type属性から判断してねとお願いできる。
- IEではContent-Typeを指定していても、htmlと勝手に判断してJavascriptが実行されてしまうことがあるためMSが実装した。
- IE以外のブラウザでも使える属性である。
なんのために使うの?
- ファイルダウンロード時にファイル形式をブラウザに誤認させてJavascriptを実行させてしまうような攻撃(XSS攻撃)を防ぐことができる。