ヘッダー要求のコンテンツタイプを設定する必要がある理由

Question

コンテンツタイプと、ヘッダー要求のコンテンツタイプを設定する必要がある理由と、いくつのタイプのヘッダーコンテンツを設定できるのかを知りたいですか？可能であれば、ドキュメントを提供してください。

Answer 1

Content-Type HTTPリクエストのヘッダには、どのデータを期待するべきかが指定されています。サーバーが複数のタイプのコンテンツを許可して受け入れる場合は、このフィールドを使用して、要求の本文をどのように解釈するかを知ることができます。

例えば：

のContent-Type：サーバーは、Content-Typeとして設定し、同じエンドポイントの両方でXMLとJSONデータを許可する場合は、アプリケーション/ JSONを

サーバーを聞かせリクエスト本体にJSONが含まれているはずです。

のContent-Type：text/xmlで

は、体内でXMLを期待して、サーバーに通知します。渡すのに対し

RFC7321 - Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content部3.1.1.5でContent-Typeを定義：

「Content-Type」ヘッダフィールドは 関連表現のメディアタイプを示しますように、 メッセージペイロードまたは選択された表現で囲まれた表現のいずれかを メッセージのセマンティクスによって決定されます。示されたメディアタイプは、 フォーマットのコンテンツと、受信されたメッセージセマンティクスの範囲内で受信者によって処理されるデータの方法を定義します。 Content-Encodingによって示されたコーディングがデコードされた後。

要求に対するContent-Typeとして設定することができIANAに登録1500+ Media typesがあります。

セクション3.1.1.5の最後の段落では、Content-Typeが設定されていない場合、サーバーはデータがapplication/octet-streamであると想定するか、要求を任意の方法で解釈すると説明しています。しかし：

はので、追加 セキュリティリスクを公開する可能性が間違った結論を、描画リスクないクライアント（例えば、「特権の昇格」）。あなたがたContentを設定しない場合

Answer 2

nosniff：

X-Content-Typeの-オプション：サーバーがこれを行うと設定することで無効にすることができたときにそれは、Content Sniffing呼ばれ

あなたのアプリを入力しないでください

たとえば、json形式のデータが必要なアプリケーションを構築していて、ヘッダにContent-Type：application/jsonを含めない場合は、ほとんどの場合yoあなたのアプリは正しく動作しません。