「拡張子ではなく、内容によってファイルを開くこと」の拡張子は Content-Type ではないことに注意 - 葉っぱ日記

暮らしカテゴリーの変更を依頼記事元:

hasegawa.hatenablog.com

26 usersがブックマークコメント

コメント

4

記事へのコメント4件

注目コメント
新着コメント

youpy 「 * 「拡張子ではなく…」による自動判定を回避するため、先頭にスペースを512バイト程度付加する」

2007/05/04 リンク

kits 題がよく分からず(拡張子とContent-Typeヘッダはもともと違うものだと思うのだが)。Content-Typeと関係なく拡張子でメディア型を判定してしまう、ということか。

2007/04/06 リンク

mitsuki_engawa IE--

2007/04/04 リンク

send スペースによる回避策は取りたくないなあ

Security

2007/04/04 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

「拡張子ではなく、内容によってファイルを開くこと」の拡張子は Content-Type ではないことに注意 - 葉っぱ日記

少し前に JSONP が XSS を引き起こすかもしれないという点に関する興味深い記事を奥さんが書かれていま... 少し前に JSONP が XSS を引き起こすかもしれないという点に関する興味深い記事を奥さんが書かれていました。 Kazuho@Cybozu Labs: JSONP - データ提供者側のセキュリティについて JSONP における Padding 部分(だけでなくJSON部分も。4/5追記)に攻撃者が HTML と解釈可能なスクリプトを注入することにより、JSONP なデータを直接 IE で開いた場合に HTML と解釈され XSS が発生する、という点について書かれています。ここで、IE が JSONP を HTML と解釈する理由は以下の2点。 IEのよく知られた機能「拡張子ではなく、内容によってファイルを開くこと」により、内容が HTML っぽい場合には、Content-Type: text/javascript が無視され HTML として解釈される。上述の設定が「無効」に設定

ブックマークしたユーザー

kilynn2007/07/20
monjudoh2007/06/05
ockeghem2007/05/23
hilde2007/05/04
C_L2007/05/04
youpy2007/05/04
sfujiwara2007/05/04
otsune2007/05/03
irohiroki2007/05/02
ruoyue7762007/04/17
gugugonta2007/04/15
lizy2007/04/13
TAKESAKO2007/04/07
dede-suke2007/04/06
kits2007/04/06
defiant2007/04/05
erupi2007/04/05
venture2007/04/05

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - 暮らし

いま人気の記事 - 暮らしをもっと読む

新着記事 - 暮らし

新着記事 - 暮らしをもっと読む

設定を変更しましたx