2018-03-04
web サイトは、ブラウザによる MIME Type sniffing を防ぐために、HTTP のレスポンスに X-Content-Type-Options: nosniff というヘッダを入れるべきなのだという。
Apache では、httpd.conf に、以下のような行を挿入する。
〜
# block MIME type sniffing
Header always set X-Content-Type-Options nosniff
〜
適切な状態であれば、HTTP のレスポンスヘッダに「X-Content-Type-Options: nosniff」が現れるだろう。
% telnet localhost 80
Trying ::1...
Connected to localhost.
Escape character is '^]'.
GET / HTTP/1.0
HTTP/1.1 200 OK
Date: Sun, 04 Mar 2018 12:39:06 GMT
Server: Apache/2.4.29 (FreeBSD) OpenSSL/1.0.2k-freebsd
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
〜
always ありなしの挙動の違いについて、 HTTP のレスポンスヘッダに X-XSS-Protection を付ける覚書 (Apache) も参考。