自分のサービスをWebPageTestにかけた結果、セキュリティで重要度は低いがNGがあった
sniffingを防ぐためにレスポンスヘッダーに「X-Content-Type-Options: nosniff」を付与すべきというもの
IEではContent-Typeに従わずにコンテンツの中を解釈してMIMEタイプ推測するため、例えばコンテンツがJSONであるにも関わらずURLの後ろに.html
をつけて開くとHTMLとして解釈される
攻撃者がjsonのvalueに<script>
で囲った何らかの処理が書かれている場合にXSSになりうる危険性がある
他にもHTMLを.png
のような画像としてアップしておいて、それをクリックさせるなど
副作用も特にないので、つけておけばよいとわかった