MIMEタイプ一覧
ファイルの種類を示すMIMEタイプ(メディアタイプ)の一覧表です。Webサーバーの設定、Content-Typeヘッダーの指定、ファイルアップロードのバリデーションなどの開発作業にお役立てください。
MIMEタイプとは
MIME(Multipurpose Internet Mail Extensions)タイプは、ファイルの形式や性質を識別するための標準的な仕組みです。タイプ/サブタイプの形式で表記され、Webブラウザやサーバーがファイルの処理方法を判断するために使用されます。HTTPレスポンスのContent-Typeヘッダーや、HTMLの<input type="file" accept="...">属性などで指定します。
画像(image)
| 拡張子 | MIMEタイプ | 説明 |
|---|---|---|
| .jpg / .jpeg | image/jpeg | JPEG画像。写真に最適な非可逆圧縮形式 |
| .png | image/png | PNG画像。透過対応の可逆圧縮形式 |
| .gif | image/gif | GIF画像。アニメーション対応、256色まで |
| .webp | image/webp | WebP画像。Google開発の高圧縮形式 |
| .avif | image/avif | AVIF画像。AV1ベースの次世代形式 |
| .svg | image/svg+xml | SVGベクター画像。XMLベース |
| .ico | image/x-icon | アイコンファイル。favicon等に使用 |
| .bmp | image/bmp | ビットマップ画像。無圧縮 |
| .tiff / .tif | image/tiff | TIFF画像。印刷・DTPで使用 |
ドキュメント(application)
| 拡張子 | MIMEタイプ | 説明 |
|---|---|---|
application/pdf | PDF文書 | |
| .doc | application/msword | Microsoft Word(旧形式) |
| .docx | application/vnd.openxmlformats-officedocument.wordprocessingml.document | Microsoft Word(OOXML形式) |
| .xls | application/vnd.ms-excel | Microsoft Excel(旧形式) |
| .xlsx | application/vnd.openxmlformats-officedocument.spreadsheetml.sheet | Microsoft Excel(OOXML形式) |
| .ppt | application/vnd.ms-powerpoint | Microsoft PowerPoint(旧形式) |
| .pptx | application/vnd.openxmlformats-officedocument.presentationml.presentation | Microsoft PowerPoint(OOXML形式) |
テキスト(text)
| 拡張子 | MIMEタイプ | 説明 |
|---|---|---|
| .txt | text/plain | プレーンテキスト |
| .html / .htm | text/html | HTML文書 |
| .css | text/css | CSSスタイルシート |
| .csv | text/csv | カンマ区切りテキスト |
| .xml | text/xml | XML文書 |
| .js | text/javascript | JavaScript(application/javascriptも有効) |
| .json | application/json | JSONデータ |
| .md | text/markdown | Markdownテキスト |
音声(audio)
| 拡張子 | MIMEタイプ | 説明 |
|---|---|---|
| .mp3 | audio/mpeg | MP3音声。最も普及した音声形式 |
| .wav | audio/wav | WAV音声。無圧縮PCM |
| .ogg | audio/ogg | Ogg Vorbis音声 |
| .flac | audio/flac | FLAC音声。可逆圧縮 |
| .aac | audio/aac | AAC音声。MP3の後継 |
| .webm | audio/webm | WebM音声 |
| .m4a | audio/mp4 | MPEG-4音声 |
動画(video)
| 拡張子 | MIMEタイプ | 説明 |
|---|---|---|
| .mp4 | video/mp4 | MP4動画。最も普及した動画形式 |
| .webm | video/webm | WebM動画。Web向けオープン形式 |
| .avi | video/x-msvideo | AVI動画 |
| .mov | video/quicktime | QuickTime動画 |
| .mkv | video/x-matroska | Matroska動画コンテナ |
| .mpeg | video/mpeg | MPEG動画 |
アーカイブ・圧縮(application)
| 拡張子 | MIMEタイプ | 説明 |
|---|---|---|
| .zip | application/zip | ZIP圧縮アーカイブ |
| .gz / .gzip | application/gzip | Gzip圧縮ファイル |
| .tar | application/x-tar | tarアーカイブ |
| .tar.gz | application/gzip | tar+gzip圧縮アーカイブ |
| .rar | application/vnd.rar | RAR圧縮アーカイブ |
| .7z | application/x-7z-compressed | 7-Zip圧縮アーカイブ |
| .bz2 | application/x-bzip2 | Bzip2圧縮ファイル |
フォント(font)
| 拡張子 | MIMEタイプ | 説明 |
|---|---|---|
| .woff | font/woff | Web Open Font Format |
| .woff2 | font/woff2 | WOFF2。圧縮率が向上 |
| .ttf | font/ttf | TrueTypeフォント |
| .otf | font/otf | OpenTypeフォント |
その他
| 拡張子 | MIMEタイプ | 説明 |
|---|---|---|
| (不明) | application/octet-stream | バイナリデータ(汎用)。不明な形式のデフォルト |
| .wasm | application/wasm | WebAssemblyバイナリ |
開発でのMIMEタイプの使い方
サーバー側の設定
Webサーバー(Apache / Nginx)では、ファイル拡張子とMIMEタイプの対応を設定します。正しく設定しないと、ブラウザがファイルを正しく処理できない場合があります。例えば.webpファイルに正しいMIMEタイプが設定されていないと、画像として表示されずダウンロードされてしまうことがあります。
ファイルアップロードのバリデーション
ファイルアップロード機能を実装する際は、拡張子だけでなくMIMEタイプも検証することが重要です。ただし、MIMEタイプはクライアント側で偽装可能なため、セキュリティ上はマジックバイト(ファイル先頭のバイト列)による検証も併用することを推奨します。
Content-Typeヘッダー
APIレスポンスやファイルダウンロード時には、適切なContent-Typeヘッダーを設定しましょう。JSONデータにはapplication/json、CSVファイルにはtext/csvを指定します。文字コード指定が必要な場合はtext/html; charset=utf-8のようにcharsetパラメータを付加します。
サーバー設定での MIME タイプ指定
WebP / AVIF / WASM / フォントなど、サーバーのデフォルトマッピングに含まれていないことが多い現代的なフォーマットを配信するときに、よく使うスニペットを以下に示します。
Apache .htaccess
# 現代的な画像フォーマット
AddType image/webp .webp
AddType image/avif .avif
AddType image/svg+xml .svg .svgz
# フォント(積極的にキャッシュさせる)
AddType font/woff .woff
AddType font/woff2 .woff2
# WebAssembly & モダンな JSON バリアント
AddType application/wasm .wasm
AddType application/manifest+json .webmanifest
AddType application/ld+json .jsonld
# テキスト系を UTF-8 で配信
AddCharset utf-8 .html .css .js .json .xmlNginx (mime.types 上書き)
types {
image/webp webp;
image/avif avif;
application/wasm wasm;
application/manifest+json webmanifest;
}
# text/* と application/json に文字コードを強制
charset utf-8;
charset_types text/css text/plain text/xml application/javascript application/json application/xml;PHP — Content-Type の送出
// ファイル名付きで PDF をダウンロードさせる
header('Content-Type: application/pdf');
header('Content-Disposition: attachment; filename="invoice.pdf"');
readfile($path);
// JSON API レスポンス (charset は常に明示)
header('Content-Type: application/json; charset=utf-8');
echo json_encode($data, JSON_UNESCAPED_UNICODE);Node.js / Express
// Express は res.type() か拡張子から Content-Type を推測する
app.get('/data.json', (req, res) => {
res.type('application/json').send({ ok: true });
});
// 明示的な MIME 指定でファイルストリーミング
app.get('/report.csv', (req, res) => {
res.set('Content-Type', 'text/csv; charset=utf-8');
fs.createReadStream('report.csv').pipe(res);
});Python — Flask / FastAPI
# Flask
from flask import Response
return Response(csv_text, mimetype='text/csv', headers={'Content-Disposition': 'attachment; filename="data.csv"'})
# FastAPI
from fastapi.responses import Response
return Response(content=json_str, media_type='application/json')Go — net/http
w.Header().Set("Content-Type", "application/json; charset=utf-8")
w.Header().Set("X-Content-Type-Options", "nosniff") // セキュリティ: 下記参照
json.NewEncoder(w).Encode(data)セキュリティ: なぜ X-Content-Type-Options: nosniff が必要か
ブラウザは歴史的に、Content-Type ヘッダーが欠落・誤指定されていたときにファイル内容を「スニッフィング」して種類を推測していました。これは既知の攻撃ベクターで、image/jpeg としてアップロードされたファイルの中身が実は <script> を含む HTML だった場合、ブラウザが HTML としてスニッフィングして XSS を発生させてしまう可能性があります。
全レスポンスで X-Content-Type-Options: nosniff を必ず送出してください。「サーバーが指定した Content-Type を信じろ、推測するな」とブラウザに伝えるヘッダーです。ユーザーアップロードファイルや JSON API では特に必須です (悪意あるリクエストで JSON を HTML や JS と解釈させようとする攻撃がある)。
アップロード検証 — 3 層ルール
- 拡張子チェック — 高速だがファイルをリネームするだけで突破される。UX 上のヒント程度として使う。
- クライアントが送信する MIME タイプ(multipart 境界内の
Content-Type)— 同様に偽装が容易。ブラウザはファイル拡張子から決定しているだけ。 - マジックバイト(ファイル署名)検出 — 実際のファイル先頭バイトを読み、既知のシグネチャ (JPEG なら
FF D8 FF、PNG なら89 50 4E 47) と照合する。**これだけが信頼できる層**。詳細は マジックバイトリファレンス を参照。
実運用の鉄則: **3 つすべて実施する**。最初の 2 つは明らかなゴミを弾く高速フィルタとして、3 つ目を権威ある最終チェックとして扱う。
よくある質問
application/json と text/json の違いは?
application/json が RFC 8259 で定義された IANA 登録済みの正式な MIME タイプです。text/json は初期に一部サーバーで使われた非公式な表記で、未登録のため使用は避けるべきです。JSON は仕様上 UTF-8 でエンコードされるため charset パラメータは技術的には冗長ですが、明示する分には無害です。
.webp や .avif がブラウザで表示されずダウンロードされてしまう
サーバーがその拡張子のマッピングを持っておらず、application/octet-stream にフォールバックしているのが原因です。ブラウザは「未知のバイナリだからダウンロードする」と判断します。image/webp / image/avif のマッピングを Apache / Nginx 設定に追加してください (上記スニペット参照)。
ブラウザが送信する MIME タイプはアップロード検証で信頼できる?
いいえ。ブラウザは選択時のファイル拡張子から MIME を決定するだけなので、malware.exe を cute-cat.jpg にリネームすればブラウザは素直に image/jpeg と表示します。拡張子 + クライアント MIME + マジックバイト検出の 3 層を必ず組み合わせてください。
サーバーが認識しないファイルにはどの MIME を使えばいい?
application/octet-stream。「任意のバイナリデータ」として明示的に定義されており、安全なデフォルトです。ブラウザは描画を試みず、ダウンロード提示するため、誤実行を防げます。
application/x-www-form-urlencoded の x- プレフィックスは何?
歴史的に x- は「実験的 / 非標準」を表す慣習でした。RFC 6648 (2012) で廃止されましたが、application/x-www-form-urlencoded / image/x-icon / application/x-tar など広く普及しているタイプは後方互換のためプレフィックスが残されています。
画像や PDF などバイナリ系にも charset を付けるべき?
不要です。charset はテキスト系 (text/*、application/json、application/xml) にだけ意味があります。image/jpeg や application/pdf に付けても無意味で、一部の中継 (CDN、プロキシ) で削除される場合があります。