自分の認識は以下なのですが、以下のような言い方をしているものがあまりないので問題ないか不安ですが以下のように変更してみました。nosniffの説明

【変更後の箇所】
jsonなのにHTMLとブラウザが誤認してしまった場合、スクリプトタグ等入れられてしまうからです。
このヘッダーを指定しないで誤認されてしまった場合に攻撃が容易に出来てしまうと言うわけです。
だってjsonとして作成した箇所でHTMLとしての脆弱対応はそのページで行っていないから。

【変更前の箇所】
なぜそんなことをするのかと思うのですが、
コンテンツタイプが違うのにとあるブラウザは勝手にインストールしてしまうことがおこりそこに攻撃的なコードが実装されているとXSS的な脆弱性が発生する的なことが起こるからみたいです。