* 歴史 ** IE8 [REFS[ - [1] [CITE@en[IE8 Security Part V: Comprehensive Protection - IEBlog - Site Home - MSDN Blogs]] ([TIME[2012-11-18 01:13:58 +09:00]] 版) ]REFS] * 例 [FIG[ [2] [PRE(HTTP example code)[ HTTP/1.1 200 OK Content-Length: 238 Content-Type: text/html X-Download-Options: noopen Content-Disposition: attachment; filename=untrustedfile.html ]PRE] [SRC[>>1]] ]FIG] * 関連 [3] 類似した機能として、 [[IE6]] で [CODE(HTML)@en[[[DownloadOptions]]]] が既に存在していました。 [FIG(quote)[ [FIGCAPTION[ [4] [CITE@ja[ファイルを直接開くのを禁止してセキュリティ向上 (X-Download-Options) - 理系学生日記]] ([TIME[2016-11-09 08:23:53 +09:00]]) ]FIGCAPTION] > IE では、ファイルをローカルに(明示的に)保存することなく開くという機能があります。ダウンロードリンクをクリックすると出てくるダイアログの「開く」ボタンを押下したときに働く機能ですね。 > 実はこの機能でファイルを開いた場合、そのファイルの内容はダウンロード元のウェブサイトのコンテキストで実行されるらしいです。悪意のあるスクリプトなんかをこの方法で開いてしまうと、インジェクションなんかが可能になるってことですね。 これを防ぐためのレスポンスヘッダが存在していて、それが > X-Download-Options: noopen > というレスポンスヘッダです。このヘッダをレスポンスに付与しておくと、ユーザは当該のファイルを直接「開く」ことができなくなり、明示的にローカルにダウンロードする他なくなります。 ]FIG] - [5] [CITE@en[北京市交通委员会]], [TIME[2025-03-06T06:27:17.000Z]], [TIME[2025-05-23T10:58:27.622Z]] -- [6] [7] >>6 [PRE(HTTP code)[ X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Strict-Transport-Security: value Referrer-Policy: value X-Permitted-Cross-Domain-Policies: value X-Download-Options: value Accept-Ranges: bytes X-Via-JSL: badc901,- Cache-Control: max-age=10800 Expires: Fri, 23 May 2025 13:58:40 GMT X-Cache: miss ]PRE]