• 人気のコメント(5)
  • 全てのコメント
typista typista 機密情報を含むJSONには X-Content-Type-Options : nosniff をつけるべき : 葉っぱ日記

2013/08/19 リンク

naga_sawa naga_sawa IE9,10では X-Content-Type-Options: nosniff レスポンスヘッダを付与すると <script> などで読み込まれる際にContent-Typeが厳密に扱われる

2013/05/22 リンク

shusatoo shusatoo 「全てのリソースに対して X-Content-Type-Options: nosniff をつけるべき」

2013/05/22 リンク

nnasaki nnasaki VBScript で JSON を読み込めてしまう。これ、CORS は超えられるんだろうか。

2013/05/22 リンク

efcl efcl VBScriptのエラーメッセージから情報取得できてしまう可能性。 X-Content-Type-Options: nosniff での防止策

2013/05/20 リンク

MinazukiBakera MinazukiBakera 「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」

2013/05/20 リンク

adsty adsty IEでの対策が不完全なため付けておいた方が良い。

2013/05/19 リンク

Untouchable Untouchable script要素のsrc属性で指定したURIのデータに他のscript要素でアクセスできてしまうのか

2013/05/19 リンク

Lhankor_Mhy Lhankor_Mhy なるほど、こんな手があったのか。

2013/05/19 リンク

ya--mada ya--mada この話は、まったくわかってないので、よんどく

2013/05/19 リンク

igrep igrep 確かに他の方がブコメでおっしゃるとおりCSRF tokenで防げそうな気がするんだが。。。

2013/05/18 リンク

iR3 iR3 ふむ

2013/05/18 リンク

oppara oppara 機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

2013/05/18 リンク

eller eller CSRFトークン使いましょうという話では……?

2013/05/18 リンク

tmatsuu tmatsuu 「JSONならnosniff付与」を毎日三唱しましょう

2013/05/18 リンク

miya2000 miya2000 軽く試したところ「型が一致しません」が出るのは改行のないJSON配列(かつ中にJSON配列を含まない)で、JSONオブジェクトだと別のエラーになって中身は取得できませんでした。/「nosniff をつけるべき」という原則は同じ。

2013/05/18 リンク

acomagu acomagu これは怖い...

2013/05/18 リンク

y_yamaguchi y_yamaguchi via はてなブックマーク - y_yamaguchi のブックマーク http://b.hatena.ne.jp/y_yamaguchi/hotentry

2013/05/18 リンク

tockri tockri これすげーな。クロスドメインで読み込んだJSONをJavaScriptで受け取ることができちゃう技かあ。nosniffヘッダをつけとくと防げる、IE以外はそもそもvbscriptをサポートしてないから関係ない

2013/05/17 リンク

letsspeak letsspeak 機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記 (id:hasegawayosuke)

2013/05/17 リンク

tinsep19 tinsep19 リソースが機密情報を含む場合はもちろん、そ うでない場合にも全てのリソースに対して X-Content-Type-Options: nosniff をつけるべき でしょう。

2013/05/17 リンク

sessan sessan へーへー

2013/05/17 リンク

yamadar yamadar ヘッダつけよう。

2013/05/17 リンク

isidai isidai 自ドメインからのXHRしか想定してないJSONやAPIエンドポイントなら、アプリ側でのX-Requested-With: XMLHttpRequest とか任意の確認ヘッダで対策するのもアリだね。 -

2013/05/17 リンク

habuakihiro habuakihiro メモっとく。

2013/05/17 リンク

dowhile dowhile IEが滅べば解決…ってわけにはいかないか

2013/05/17 リンク

lb501 lb501 IEの話

2013/05/17 リンク

ngyuki ngyuki すごい、vbscript として読ませてエラーメッセージから別サイトの機密情報にアクセス

2013/05/17 リンク

rna rna 「IE9、10が修正されておらず X-Content-Type-Options による保護が必要となる点については、Microsoft に問い合わせたところ仕様に基づく動作との回答を得ています」

2013/05/17 リンク

sakuragaoka sakuragaoka 何の冗談?とか思ったら大真面目な話だった。IEはうんこ。

2013/05/17 リンク

関連記事

機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普...

ブックマークしたユーザー

  • SWIMATH22016/02/25 SWIMATH2
  • idk2015/09/19 idk
  • manaten2015/09/15 manaten
  • epy0n2015/09/15 epy0n
  • nari_ex2015/06/23 nari_ex
  • mut00tum2015/02/18 mut00tum
  • nicopn19892014/09/16 nicopn1989
  • repon2014/05/04 repon
  • ria_ringo2014/03/26 ria_ringo
  • kuxttoba2014/02/05 kuxttoba
  • kenjiro_n2013/09/24 kenjiro_n
  • typista2013/08/19 typista
  • ji_ku2013/07/05 ji_ku
  • bsoo2013/06/23 bsoo
  • KUMARI2013/06/22 KUMARI
  • SugarlessChoco2013/06/21 SugarlessChoco
  • comeonly2013/06/20 comeonly
  • calcs2013/06/14 calcs
すべてのユーザーの
詳細を表示します

いま人気の記事

いま人気の記事 - テクノロジー

新着記事 - テクノロジー

同じサイトの新着

RuPaul's Drag Race Season 11 Episode 1 Watch Online HD | Cascade Bicycle Club

1 user https://cascade.org/

30xリダイレクトのレスポンスボディでもXSS(その2) - 葉っぱ日記

11 users http://hasegawa.hatenablog.com/