text / html content-typeのみのContent-Security-Policyヘッダーを送信しても安全ですか?
送信しても安全ですかContent-Security-Policyは動的に生成されたページでtext/htmlおよびその他のハイパーテキストコンテンツタイプのみ、または静的アセットを含むすべてのファイル(画像、JSファイル、CSSファイル)にこのヘッダーを送信する必要がありますか?
ユーザーがさまざまな要因に基づいてMIMEタイプに影響を与える場合があります。たとえば、IEは、特定の状況でtext/plainをtext/htmlとしてレンダリングするためにだまされる可能性があります。また、レンダリングされ、データを抽出できる他のさまざまなMIMEタイプがあります。たとえば、pdfファイルでもJavaScriptを実行できるため、Flash、SVG、XML、またはその他のプラグインで処理されるコンテンツタイプも実行できます。
したがって、レンダリングされたすべてのコンテンツに構成ファイルを使用してCSPを適用することをお勧めします。
補足として、常にX-Content-Type-Options: nosniffヘッダーとともに正しい文字セット属性を持つ正しいコンテンツタイプを返します。