Nginxのセキュリティ対策をする (ディレクティブ編)
随時更新します。
X-Content-Type-Options
add_header X-Content-Type-Options nosniff;
ブラウザはダウンロードしたコンテンツの種類を判定するのにContent-Typeヘッダを使います。
Internet Explorerは、さらにコンテンツの内容もチェックして、コンテンツの種類を判定します。
この動作は Content Sniffing と呼ばれます。
text/plain であっても、HTML と JavaScript が書かれているとブラウザがそれを実行してしまうことがあり、キュリティホールになってしまう可能性があります。
このため、Content Sniffing を 使わないように設定します。