例如,我想设置" X-Content-Type-Options":" nosniff"为了防止mime嗅探,我可以在web.config中设置,
<add name="X-Content-Type-Options" value="nosniff" />
我也可以在global.asax.cs中设置值
protected void Application_PreSendRequestHeaders(Object source, EventArgs e) {
HttpContext.Current.Request.Headers.Add("X-Content-Type-Options", "nosniff");
}
有什么区别?
我应该在两个地方设置标题吗?
有没有最好的做法?