HTTPヘッダー「X-Content-Type-Options：nosniff」を使用する必要がある場合

Sean Thorburn による回答は非常に有用であり、良い資料を示してくれたので、賞金を授与されました。しかし、私はもう少し掘り下げて、必要な答えがあると思いますが、それはショーンによって与えられた答えの反対であることが判明しました。

したがって、私は自分の質問に答えます：

上記の参考文献（およびその他）は、すべての応答にこのヘッダーを設定するのは悪いことを示していますが、関連性のあるリンクをたどってGoogleで検索しても、この議論の背後にある理由は見つかりませんでした。

ここに誤解があります-これは彼らが示しているものではありません。

私が調査中に見つけたリソースは、ヘッダーが「スクリプトとスタイルの種類」のみを尊重していることを示していました。これは、text/javascriptまたはtext/cssとして提供されるファイルを意味すると解釈しました。

しかし、彼らが実際に言及しているのは、ファイルがロードされるコンテキストであり、ファイルが提供されているMIMEタイプではありません。たとえば、<script>または<link rel="stylesheet">タグ。

この解釈を考えると、すべてがより理にかなっており、答えが明確になります。

ユーザーコンテンツからのインジェクション攻撃のリスクを減らすには、nosniffヘッダーを持つallファイルを提供する必要があります。

このヘッダーを使用してCSS/JSファイルのみを提供するのは無意味です。これらの種類のファイルはこのコンテキストでは受け入れられ、追加のスニッフィングは必要ありません。

ただし、他の種類のファイルでは、スニッフィングを許可しないことにより、MIMEタイプが期待されるタイプと一致するファイルのみが各コンテキストで許可されるようにします。これにより、アップロードチェックをバイパスし、サードパーティのスクリプトをドメインからホストしてサイトに埋め込むことができるように、悪意のあるスクリプトが（たとえば）画像ファイルに隠されるリスクを軽減します。

X-Content-Type-Options：nosniffの設定に関連するリスク/問題は何ですか？また、text/cssおよびtext/javascript以外のMIMEタイプについてはなぜ避けるべきですか？

または、リスク/問題がない場合、Mozilla（およびその他）が存在することを示唆しているのはなぜですか？

問題ありません。

記載されている問題は、既存のサイトとの互換性を損なうリスクに関する問題です。 Mozillaの調査では、<img>タグにnosniffオプションを強制すると、サーバーの設定ミスにより多くのサイトが破損するため、画像コンテキストではヘッダーが無視されることが示されました。

他のコンテキスト（HTMLページ、ダウンロード、フォントなど）は、スニッフィングを使用しないか、関連するリスクがないか、スニッフィングが無効になるのを防ぐ互換性の問題があります。

したがって、彼らはあなたがこのヘッダーの使用を避けるべきであることをまったく示唆していません。

ただし、彼らが話している問題は、この議論の重要な脚注になります。

nosniffヘッダーを使用している場合、正しいContent-Typeヘッダーも提供していることを確認してください！

これをもう少し完全に理解するのに役立ついくつかの参照：

1. このヘッダーを定義するWhatWG Fetch標準
2. ディスカッション および コードコミットwebhint.io サイトチェックツールのこのヘッダーに関連しています。