X-Content-Type-Options: nosniff
@hasegawayosuke PDFに偽装したJavaScriptをダウンロードする時に、アプリケーション側がContent-Type: application/x-pdfと間違えていて、PATHINFOで/a.htmlをつけて呼び出すパターンです。
2011-01-05 23:28:42あるいは、HTMLを含む全コンテンツで(という記述はいらんけど) X-Content-Type-Options: nosniff をつけるように、で。
2011-01-06 09:21:46X-Content-Type-Options: nosniff は、ググっても、「よくわからんなあ」っていう記事ばっかりヒットするのだけれど、ちゃんとした解説記事はどこかしら
2011-01-06 09:36:08@tokuhirom http://bit.ly/eeXpES http://bit.ly/hiZ44Y くらいしかないですね。
2011-01-06 09:41:23@tokuhirom @hasegawayosuke http://blogs.msdn.com/b/ie/archive/2010/10/26/mime-handling-changes-in-internet-explorer.aspx もありますよん。IE9 から挙動変更。
2011-01-06 10:04:32たぶん誰かが「X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに!」みたいな記事をかけば一気に普及する。
2011-01-06 10:08:04X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに!
2011-01-06 10:09:32ちなみに、IE9でクロスドメインでのConent-Type判定が厳しくなったせいで、一時 Google の画像検索とかでも不具合出てましたね。
2011-01-06 10:10:40RT @hasegawayosuke: X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに!
2011-01-06 10:12:25【拡散希望】 RT @tokuhirom: RT @hasegawayosuke: X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに!
2011-01-06 10:12:52記事書いたけど、やっつけ記事すぎる。 http://d.hatena.ne.jp/hasegawayosuke/20110106/p1
2011-01-06 10:33:08そもそも、Microsoft は IE がサポートする X-ふがふが レスポンスヘッダについてもう少しマジメに説明すべき。断片的な blog くらいしかまともな技術情報がないってどうよ。
2011-01-06 10:34:00そもそもなぜIEがsniffし始めたか。昔のWebサーバは実際まともにContent-Type吐かないことがよくあって。つーか最近でもまだまだあるけど。
2011-01-06 10:45:00