X-Content-Type-Options
概要
Content-Typeヘッダで指定されたMIMEタイプの変更を禁止
関連
セキュリティ
slug
infographicIT/http/headers/x-content-type-options
種別
Response
X-Content-Type-Optionsヘッダの概要MIME スニッフィングとはX-Content-Type-Optionsヘッダが必要な理由X-Content-Type-Optionsヘッダの利用方法参考サイト
X-Content-Type-Optionsヘッダの概要
X-Content-Type-Optionsヘッダとは、「Content-Type」ヘッダで指定されたMediaタイプ(MIMEタイプ)を強制的に適用するためのレスポンスヘッダ。
ブラウザによるMIMEスニッフィングを抑制する。
以下の用語の詳細な説明は、各リンク先の記事を参照。
MIME スニッフィングとは
MIMEスニッフィングとは、ブラウザがコンテンツの Content-Typeヘッダで指定されているMediaタイプ(MIMEタイプ)が間違っていると判断した際に、正しい と推測したMediaタイプ(MIMEタイプ)を適用する機能。
X-Content-Type-Optionsヘッダが必要な理由
リクエストで指定した値がレスポンスで返る場合、MIMEスニッフィング機能を悪用してMIMEタイプ(Mediaタイプ)を誤認識させ、スクリプトを実行する攻撃があるため。
X-Content-Type-Optionsヘッダの利用方法
レスポンスヘッダに以下を追記することで、リクエストで指定されたMediaタイプ(MIMEタイプ)とレスポンスデータのMediaタイプが異なる場合にその通信をブロックする。
Plain Text