什么是X-Content-TypeOptions？

一种可以防止攻击的类型，它通过严格解释MIME类型来防止浏览器错误地识别MIME类型和JSON劫持攻击。

下面将大致解释

攻击，但是如果将它错误地识别为与应用程序端假定的MIME类型(内容类型)不同的类型，则可以使用此攻击！那是。

什么时候使用？

旧IE具有忽略响应标头Content-Type并基于扩展名确定MIME类型的属性。
作为此漏洞的对策，如果是IE8或更高版本，则可以对其进行修改，以便通过在响应标头中设置" X-Content-TypeOptions：nosniff"来基于响应标头确定MIME类型。
但是，请注意，即使您指定了此选项，也无法在IE7或更早版本中阻止它。

如果我想在IE7之前采取措施怎么办？

→JSON