またセキュリティの話
これ
「Content-Type Header Missing」という警告
OWASP ZAP – Content-Type Header Missing
The world’s most widely used web app scanner. Free and open source. Actively maintained by a dedicated international tea...
www.zaproxy.org
Content-Typeを設定しとけって内容。
WEBページでないデータはHTTPヘッダーを仕込めない場合があるので、そうすると.htaccessとかでディレクトリ自体に指定したりできる。
症例
自鯖にWEBフォント(.woff2)をアップ。
ドメイン直下の.htaccessに以下の内容を仕込んである。
<Ifmodule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>だけど警告が出た。
フォントファイルがあるディレクトリにも.htaccessを入れたけどダメだった。
なんだよこれ。
原因と解決
preloadがダメだったっぽい。
フォントが重いので書式に倣って以下の感じで書いてあった。
<link rel="preload" href="font/***.woff2" as="font" type="font/woff2" crossorigin>書式をミスったかと思ったけどそんなことなかったようで、まあとりあえず削除。cssで読み込ませた。
@font-face { font-family: '***'; src: url(font/***.woff2);}スキャンに掛けたら警告が消えた。
何なんでしょうねこれ。
コメント