在生产环境中遇到商品价格加载失败的问题,仅部分用户受影响,问题源于动态加载JS文件时Content-Type错误,被浏览器的Strict MIME TYPE检查阻止。安全头部X-Content-Type-Options: nosniff的引入加剧了问题,因为未正确设置Content-Type。解决方案包括应急时从CDN移除头部,长期则需系统标准化Content-Type格式。
问题背景
最近在生产环境遇到了一个棘手的问题,很多促销页面的商品价格无法加载,且只有部分用户投诉和反馈,测试环境和内网环境均无法复现这个现象。
原因定位
发现报错的原因如下,动态加载js文件时返回Content-Type为text/html,与文件类型.js不匹配,禁止加载。
Refused to execute script from ‘XXXX’ because its MIME type (‘text/html’) is not executable, and strict MIME type checking is enabled.
由于开发没有注意过,我们所有json的请求的类型都是默认的text/html。但一直都是这样使用的,为什么最近才出现被禁止加载的情况呢?进一步分析请求的响应头,发现最近安全部门在响应头中增加了X-Content-Type-Options:nosniff字段。
互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们
最低0.47元/天 解锁文章
扫一扫
1405
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
