取り消し X-Content-Type-Options: nosniff がトップレベルドキュメントにも適用されたことで、一部のページがダウンロードされてしまいます

公開日: | カテゴリー: ネットワーキング, プライバシー & セキュリティ

概要

X-Content-Type-Options HTTP レスポンスヘッダーは Firefox 50 以降使用可能となっており、その nosniff ディレクティブを使うことで、間違った MIME タイプで配信されているスクリプトやスタイルシートを効果的にブロックすることができます。

Firefox 71 以降、ブラウザーセキュリティのさらなる向上を目的として、この対応がトップレベルドキュメントにも適用されます。つまり、X-Content-Type-Options ヘッダーが活用されている場合、text/html 以外の MIME タイプで配信された HTML ウェブページは、レンダリングされる代わりにダウンロードされることになります。

Microsoft Office 365 を含め、この変更の影響を受ける既知のサイトがいくつかあるため、あなたのサイトも必ず再確認しましょう。

更新: この変更は Firefox 71 からバックアウトされました。Mozilla 開発者は微調整を行いつつ Firefox 72 で再度変更を行う計画を立てています。

参考資料