記事へのコメント61

    • 人気コメント
    • 新着コメント
    x5gtrn x5gtrn 「リソースが機密情報を含む場合はもちろん、そうでない場合にも全てのリソースに対して X-Content-Type-Options: nosniff をつけるべきでしょう」

    2013/11/11 リンク

    その他
    typista typista 機密情報を含むJSONには X-Content-Type-Options : nosniff をつけるべき : 葉っぱ日記

    2013/08/19 リンク

    その他
    naga_sawa naga_sawa IE9,10では X-Content-Type-Options: nosniff レスポンスヘッダを付与すると <script> などで読み込まれる際にContent-Typeが厳密に扱われる

    2013/05/22 リンク

    その他
    shusatoo shusatoo 「全てのリソースに対して X-Content-Type-Options: nosniff をつけるべき」

    2013/05/22 リンク

    その他
    nnasaki nnasaki VBScript で JSON を読み込めてしまう。これ、CORS は超えられるんだろうか。

    2013/05/22 リンク

    その他
    efcl efcl VBScriptのエラーメッセージから情報取得できてしまう可能性。 X-Content-Type-Options: nosniff での防止策

    2013/05/20 リンク

    その他
    MinazukiBakera MinazukiBakera 「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」

    2013/05/20 リンク

    その他
    adsty adsty IEでの対策が不完全なため付けておいた方が良い。

    2013/05/19 リンク

    その他
    Untouchable Untouchable script要素のsrc属性で指定したURIのデータに他のscript要素でアクセスできてしまうのか

    2013/05/19 リンク

    その他
    Lhankor_Mhy Lhankor_Mhy なるほど、こんな手があったのか。

    2013/05/19 リンク

    その他
    ya--mada ya--mada この話は、まったくわかってないので、よんどく

    2013/05/19 リンク

    その他
    igrep igrep 確かに他の方がブコメでおっしゃるとおりCSRF tokenで防げそうな気がするんだが。。。

    2013/05/18 リンク

    その他
    iR3 iR3 ふむ

    2013/05/18 リンク

    その他
    oppara oppara 機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

    2013/05/18 リンク

    その他
    eller eller CSRFトークン使いましょうという話では……?

    2013/05/18 リンク

    その他
    tmatsuu tmatsuu 「JSONならnosniff付与」を毎日三唱しましょう

    2013/05/18 リンク

    その他
    miya2000 miya2000 軽く試したところ「型が一致しません」が出るのは改行のないJSON配列(かつ中にJSON配列を含まない)で、JSONオブジェクトだと別のエラーになって中身は取得できませんでした。/「nosniff をつけるべき」という原則は同じ。

    2013/05/18 リンク

    その他
    acomagu acomagu これは怖い...

    2013/05/18 リンク

    その他
    y_yamaguchi y_yamaguchi via はてなブックマーク - y_yamaguchi のブックマーク http://b.hatena.ne.jp/y_yamaguchi/hotentry

    2013/05/18 リンク

    その他
    tockri tockri これすげーな。クロスドメインで読み込んだJSONをJavaScriptで受け取ることができちゃう技かあ。nosniffヘッダをつけとくと防げる、IE以外はそもそもvbscriptをサポートしてないから関係ない

    2013/05/17 リンク

    その他
    letsspeak letsspeak 機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記 (id:hasegawayosuke)

    2013/05/17 リンク

    その他
    tinsep19 tinsep19 リソースが機密情報を含む場合はもちろん、そ うでない場合にも全てのリソースに対して X-Content-Type-Options: nosniff をつけるべき でしょう。

    2013/05/17 リンク

    その他
    sessan sessan へーへー

    2013/05/17 リンク

    その他
    yamadar yamadar ヘッダつけよう。

    2013/05/17 リンク

    その他
    isidai isidai 自ドメインからのXHRしか想定してないJSONやAPIエンドポイントなら、アプリ側でのX-Requested-With: XMLHttpRequest とか任意の確認ヘッダで対策するのもアリだね。 -

    2013/05/17 リンク

    その他
    habuakihiro habuakihiro メモっとく。

    2013/05/17 リンク

    その他
    dowhile dowhile IEが滅べば解決…ってわけにはいかないか

    2013/05/17 リンク

    その他
    lb501 lb501 IEの話

    2013/05/17 リンク

    その他
    ngyuki ngyuki すごい、vbscript として読ませてエラーメッセージから別サイトの機密情報にアクセス

    2013/05/17 リンク

    その他
    rna rna 「IE9、10が修正されておらず X-Content-Type-Options による保護が必要となる点については、Microsoft に問い合わせたところ仕様に基づく動作との回答を得ています」

    2013/05/17 リンク

    その他

    関連記事

    機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

    WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普...

    ブックマークしたユーザー

    • SWIMATH22016/02/25 SWIMATH2
    • idk2015/09/19 idk
    • manaten2015/09/15 manaten
    • epy0n2015/09/15 epy0n
    • nari_ex2015/06/23 nari_ex
    • mut00tum2015/02/18 mut00tum
    • nicopn19892014/09/16 nicopn1989
    • repon2014/05/04 repon
    • ria_ringo2014/03/26 ria_ringo
    • kuxttoba2014/02/05 kuxttoba
    • x5gtrn2013/11/11 x5gtrn
    • kenjiro_n2013/09/24 kenjiro_n
    • typista2013/08/19 typista
    • ji_ku2013/07/05 ji_ku
    • bsoo2013/06/23 bsoo
    • KUMARI2013/06/22 KUMARI
    • SugarlessChoco2013/06/21 SugarlessChoco
    • comeonly2013/06/20 comeonly
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    RuPaul's Drag Race Season 11 Episode 1 Watch Online HD | Cascade Bicycle Club

    1 user https://cascade.org/

    30xリダイレクトのレスポンスボディでもXSS(その2) - 葉っぱ日記

    10 users http://hasegawa.hatenablog.com/