自分のサービスをWebPageTestにかけた結果、セキュリティで重要度は低いがNGがあった
sniffingを防ぐためにレスポンスヘッダーに「X-Content-Type-Options: nosniff」を付与すべきというもの
IEではContent-Typeに従わずにコンテンツの中を解釈してMIMEタイプ推測するため、例えばコンテンツがJSONであるにも関わらずURLの後ろに.htmlをつけて開くとHTMLとして解釈される
攻撃者がjsonのvalueに<script>で囲った何らかの処理が書かれている場合にXSSになりうる危険性がある
他にもHTMLを.pngのような画像としてアップしておいて、それをクリックさせるなど
副作用も特にないので、つけておけばよいとわかった
