Content-Type 未指定の場合も X-Content-Type-Options:nosniff が遵守されるようになりました

公開日: | カテゴリー: ネットワーキング, プライバシー & セキュリティ

概要

Firefox 72 以降、X-Content-Type-Options HTTP レスポンスヘッダーはトップレベルドキュメントにも適用されていますが、互換性リスクを緩和するため、Content-Type ヘッダーが空だったり指定されていない場合は nosniff ディレクティブは無視されていました。

Mozilla の Telemetry によって実際のリスクがないことが証明されたため、この回避策は Firefox 75 で削除されました。ただ、サーバーやアプリケーションの誤設定が原因で、この nosniff 遵守により HTML ページがダウンロードされる状態が引き起こされるため、ウェブ開発者の皆さんはこの変更について知っておくべきでしょう。

参考資料