1分でわかる「X-ナントカ」HTTPレスポンスヘッダ

最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。

X-XSS-Protection	0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効にすることでエンドユーザがXSSの被害にあう可能性が低減するが、まれに誤検知することで画面の表示が乱れることもある。IE8+、Safari、Chrome(多分) で有効。IEでは「X-XSS-Protection: 1; mode=block」という指定も可能。 2008/7/2 - IE8 Security Part IV: The XSS Filter Bug 27312 – [XSSAuditor] Add support for header X-XSS-Protection
X-Content-Type-Options	nosniff を指定した場合には、IE8+においてコンテンツの内容からファイルタイプを推測する動作がなくなる。非HTMLがHTML扱いされることによって発生するXSSの防御に有効。 Introducing Internet Explorer 8.0 Security IE8 Security Part VI: Beta 2 Update - IEBlog - Site Home - MSDN Blogs MIME-Handling Changes in Internet Explorer - IEBlog - Site Home - MSDN Blogs
X-Frame-Options	コンテンツを他のフレーム内で表示可能かどうかを指定。クリックジャック対策に有効。DENY を指定すると外部からフレームに埋め込んでコンテンツを表示することはできなくなる。SAMEORIGIN を指定すると同じドメインのときのみフレーム内に埋め込んでコンテンツを表示することができる。IE8+、Chrome、Safari、Opera、Firefoxの各ブラウザで対応している。 2009/01/27 - IE8 セキュリティーパート VII: クリックジャッキングを防ぐ The X-Frame-Options response header - MDC Doc Center
X-UA-Compatible	IE8+においてブラウザのドキュメントモードを指定する。Google Chrome Frame を使用している場合には X-UA-Compatible: chrome=1 と指定することでIE内でGoogle Chrome Frameを使ってコンテンツを表示させることができる。 Internet Explorer の互換性、IE アプリケーションの互換性、X-UA-Compatible タグ、および開発者向けのその他の情報 Chrome Frame: Developer Guide - The Chromium Projects
X-Content-Security-Policy	Firefox 4+で有効。Content Security Policy を有効にする。(そのうちきちんと書くかも…) Introducing Content Security Policy - MDC Doc Center

というか、ほとんどがIE8以降にMicrosoftが導入なんだから、Microsoftはきちんと整理して文書にまとめて欲しい。