naja, wie gesagt, der punkt mit dem interpretierten html war mir wichtig.
wenn battie insofern aussergewöhnlich ist, dass es mehr auf sicherheit achtet, während das anderen software-autoren egal ist, dann soll mir das recht sein.

search.cpan.org zum beispiel liefert in perl-paketen enthaltene html-dateien als text/html aus. zum glück ist das dort nicht so tragisch, da es keine anmelde-funktion gibt und somit kein angriffspunkt für XSS.
metacpan.org liefert als text/plain aus, aber auch ohne nosniff-header.

da ist es mir lieber, wenn ich danach eine ausnahme implementiere für dateitypen, die direkt angezeigt werden sollen.

es gibt immer wieder leute, die fragen, warum nimmst du nicht eine vorhandene forum-software. das ist einer der gründe. natürlich bin ich auch nicht davor gefeit, sicherheitsrelevante fehler zu machen, aber mein vorsatz ist zumindest: erst die sicherheit, dann die funktionalität.