Есть ли способ автоматически определять значение «Content-Disposition» в экспрессе в зависимости от типа файла?
Можно написать промежуточное программное обеспечение, которое проверяет ответ и модифицирует его.
Если я не отправляю заголовок «Content-Disposition», мне кажется, что запрос обрабатывается так же, как и «Content-Disposition: inline».Правильно ли это наблюдение или есть что-то большее?
См. MDN , который говорит: «Первый параметр в контексте HTTP - это либо inline ()значение по умолчанию , указывающее, что оно может отображаться на веб-странице или в виде веб-страницы)… "
Если по умолчанию браузер пытается выполнить / просмотреть файлы (на основании пункта 2), что это означает для безопасности, когда вы разрешаете скачивать html-файлы, которые могут выполнять javascript?
Немного, если вы не используете JavaScript, которому вы (автор сайта) не доверяете.
Если вам нужно обслуживать документы HTML, которые могут содержать JavaScript, которому вы не доверяете, то обслуживайте их из другого источника (чтобы использовать одинаковую политику происхождения для их изолированной среды) и / или реализуйте политику безопасности содержимого запретить им выполнение JavaScript.