Content-Typeとは？

• HTTPレスポンスヘッダに付与する属性。
• 返却するファイル形式が何なのか？、を知らせる目的がある。

# Content-Typeの例
text/plain → テキストファイル  
text/html  → HTMLファイル  
application/json → JSONファイル
application/pdf → PDFファイル  

X-Content-Type-Options:nosniffとは？

• この属性を付与するとファイルの内容をContent-Type属性から判断してねとお願いできる。
• IEではContent-Typeを指定していても、htmlと勝手に判断してJavascriptが実行されてしまうことがあるためMSが実装した。
• IE以外のブラウザでも使える属性である。

なんのために使うの？

• ファイルダウンロード時にファイル形式をブラウザに誤認させてJavascriptを実行させてしまうような攻撃(XSS攻撃)を防ぐことができる。