ってことで、メモ。あとで直す。

IEのファイルタイプの判定アルゴリズムは非常に難解であり、現在でも状況によってはWebサイト運営者のまったく意図していないかたちでのXSSが発生する可能性があったりします。そういうわけで、IEがコンテンツを sniff してHTML以外のものをHTML扱いしてしまうことを防ぐために、動的にコンテンツを生成している場合には、とにかくあらゆるコンテンツのレスポンスヘッダに X-Content-Type-Options: nosniff を付与するようにしましょう。これを付与することによる副作用は

X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記

関連URL

• X-Content-Type-Options: nosniffのつけ方 | へぼい日記