Internet ExplorerはHTTPヘッダに書かれているMIME Typeやファイルの拡張子を無視してファイルの先頭256バイトからMIME Typeを推測する仕様になっているが、この256バイトにHTMLタグのようなものがあるとHTMLファイルだと見なしてしまう脆弱性*1がある。
これを阻止するには、インターネットオプションのセキュリティタブのレベルのカスタマイズ画面の"拡張子ではなく、内容によってファイルを開くこと"を無効にすればいい。