[無視できない]IEのContent-Type無視 − @IT(情報元のブックマーク数)
ちょっ!のっけからアンチメジャー宣言wwww>それも編集部wwwww
そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます
[無視できない]IEのContent-Type無視 (1/2):教科書に載らないWebアプリケーションセキュリティ(2) - @IT
テキストファイルでもXSSしちゃうIEの悪行。Content-Typeが信用ならないから自動的にContent-Typeを見分けようとしたIEの便利機能が悪行となってしまった件
IEのContent-Type無視問題は、Webアプリケーションの開発や検査にかかわる方であれば一度は耳にしたことがあると思います。
例えば、以下のような「テキストファイル」をIEで開いたとします。HTTP/1.1 200 OK
Content-Type: text/plain
これはテキストファイルです。
<script>alert("xss");</script>この場合、IEは“text/plain”と指定されたContent-Typeヘッダに従わず、コンテンツ内に含まれる内容から「HTML」であると判断して、そこに含まれるスクリプトを実行してしまいます。
[無視できない]IEのContent-Type無視 (1/2):教科書に載らないWebアプリケーションセキュリティ(2) - @IT
IEの今後、はせがわようすけさんの今後に期待!w、てか、Webアプリとしてテキストをダウンロードしたりするもので、一部先頭256バイトの空白を入れて対応しているExchange OWAとかありますよねw
「HTMLではないものをWebブラウザが独断でHTMLと判断してしまう」というのは、セキュリティ上の観点から考えれば、Webブラウザ側で真っ先に修正すべき点です。しかし、「互換性と利便性の確保」という点を優先するIEではなかなか修正の難しい問題のようです。それでも、IE8においては本稿で取り扱っている内容に関する処理が大きく改善されているようで、数年前に比べると少しずつではありますが前進していると感じます。
[無視できない]IEのContent-Type無視 (2/2):教科書に載らないWebアプリケーションセキュリティ(2) - @IT
IE8での変更点についてはまだ詳細を調べ切れていないのですが、今後機会があればIE 8での改善点などについても調査のうえ書いてみたいと思います。