Tem a ver com um novo "recurso de segurança" que oferece um novo campo no cabeçalho, semelhante aos problemas com PDFs:
In Internet Explorer 8 Microsoft added a security feature to prevent script injection vulnerabilities caused by buggy client software. This feature is activated by a new HTTP header called X-Download-Options which can be set to noopen. When that header is passed with a file attachment Internet Explorer 8 will not provide the option to directly open the file, instead you must first save the file locally and then open it.
e, de link
Por fim, para aplicativos da Web que precisam veicular arquivos HTML não confiáveis, introduzimos um mecanismo para ajudar a impedir que o conteúdo não confiável comprometa a segurança do seu site. Quando o novo cabeçalho X-Download-Options estiver presente com o valor noopen, o usuário é impedido de abrir um download de arquivo diretamente; em vez disso, eles devem primeiro salvar o arquivo localmente. Quando o arquivo salvo localmente é aberto posteriormente, ele não é mais executado no contexto de segurança do seu site, ajudando a impedir a injeção de script.
HTTP / 1.1 200 OK
Comprimento do conteúdo: 238
Tipo de conteúdo: text / html
X-Download-Options: noopen
Content-Disposition: anexo; filename = untrustedfile.html
