根据 cloudflare docs 这个标头是在 HSTS 设置中配置的,但我禁用了 HSTS。我尝试启用 HSTS 并专门停用
x-content-type-options
标头,但标头仍被发送。这不是浏览器缓存问题,因为标头的存在也可以通过curl -vv https://example.com/...
看到。
在将 apache webserver 升级到 2.4 版本后出现了这个问题,它删除了默认内容类型的设置 (
DefaultType
),基于现代浏览器应该负责嗅探类型的原因,而 cloudflare 的标头阻止了浏览器不这样做。