影響あり X-Content-Type-Options: nosniff がトップレベルドキュメントにも適用されたことで、一部のページがダウンロードされてしまいます

公開日:

カテゴリー: ネットワーキング, プライバシー & セキュリティ

リリース: Firefox 72, Firefox 78 ESR

概要

X-Content-Type-Options HTTP レスポンスヘッダーは Firefox 50 以降使用可能となっており、その nosniff ディレクティブを使うことで、間違った MIME タイプで配信されているスクリプトやスタイルシートを効果的にブロックすることができます。

Firefox 71 以降、ブラウザーセキュリティのさらなる向上を目的として、この対応がトップレベルドキュメントにも適用されます。つまり、X-Content-Type-Options ヘッダーが活用されている場合、text/html 以外の MIME タイプで配信された HTML ウェブページは、レンダリングされる代わりにダウンロードされることになります。

Microsoft Office 365 を含め、この変更の影響を受ける既知のサイトがいくつかあるため、あなたのサイトも必ず再確認しましょう。

更新: この変更は Firefox 71 からバックアウトされました。Mozilla 開発者は微調整を行いつつ Firefox 72 で再度変更を行う計画を立てています。

更新 2: この変更は Firefox 72 へ再度投入されました。互換性リスクを緩和するため、X-Content-Type-Options が設定されているものの Content-Type が定義されていない場合は MIME タイプの自動判別が有効となります。

更新 3: 空の Content-Type 回避策は Firefox 75 で削除されました。

参考資料