Esto se refiere a la prueba application/octet-stream
aquí:
enlace
Las versiones de escritorio de Chrome, Firefox y Safari descargarán el archivo. Lo mismo para Chrome y Firefox en Android. Pero en iOS, los tres navegadores ejecutan / interpretan el archivo como si fuera HTML, incluido el Javascript que contiene.
Mi pregunta: ¿está bien?
Sé que las descargas deben usar Content-Disposition: attachment
, y esta SO respuesta habla de no depender de Content-Type
. Pero ... esto todavía parece mal.
Hubo CVE para tratar text/plain
como HTML ( CVE-2010- 1420 , CVE-2013-5151 ). ¿Cómo está realmente mal, pero application/octet-stream
está bien?