X-Download-Options

X-Download-Options

歴史

IE8

[2]

HTTP/1.1 200 OK 
Content-Length: 238 
Content-Type: text/html 
X-Download-Options: noopen 
Content-Disposition: attachment; filename=untrustedfile.html 

>>1

関連

[3] 類似した機能として、 IE6DownloadOptions が既に存在していました。

[4] ファイルを直接開くのを禁止してセキュリティ向上 (X-Download-Options) - 理系学生日記 () <http://kiririmode.hatenablog.jp/entry/20161107/1478523100>

IE では、ファイルをローカルに(明示的に)保存することなく開くという機能があります。ダウンロードリンクをクリックすると出てくるダイアログの「開く」ボタンを押下したときに働く機能ですね。

実はこの機能でファイルを開いた場合、そのファイルの内容はダウンロード元のウェブサイトのコンテキストで実行されるらしいです。悪意のあるスクリプトなんかをこの方法で開いてしまうと、インジェクションなんかが可能になるってことですね。 これを防ぐためのレスポンスヘッダが存在していて、それが

X-Download-Options: noopen

というレスポンスヘッダです。このヘッダをレスポンスに付与しておくと、ユーザは当該のファイルを直接「開く」ことができなくなり、明示的にローカルにダウンロードする他なくなります。