JSON APIのURLをIEで開くと勝手にContent-Typeをtext/htmlと推測してしまうことがある。その場合、XSS攻撃ができてしまう場合があるこれの対策として JSONだけども、HTMLのエスケープをする X-Content-Type-Options: nosniffを設定する XHRを利用する時は、X…