Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話) - ぶるーたるごぶりん
English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo
Email::MIME::ContentType が build_content_type と build_content_disposition を提供するようになっていた - その手の平は尻もつかめるさ
Perl の話です. metacpan.org Email::MIME::ContentType 1.023 (なお本バージョンは TRIAL Release となっています) 以降から build_content_type と build_content_disposition という関数が追加されています.それぞれ名前の通り Content-Type と Content-Disposition を構築する責務を担っています. テストコードから一部拝借すると, use Email::MIME::ContentType; my $content_type = build_content_type({ type => 'text', subtype => 'plain', attributes => { charset => 'us-ascii' } }); # => 'text/plain
Encode Content-Disposition filenames on send_data and send_file by mtsmfm · Pull Request #33829 · rails/rails
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Djnagoメモ Content-Dispositionのfilenameに日本語をセットする - Qiita
DjangoのView 上記設定をDjangoのViewで行うとこのようになります。 肝は普通にファイル名をセットするのではなく、URLエンコーディングしたファイル名をセットしているというところです。 この設定でも行けるときは行ける気がしますが、ブラウザによっては文字化けします。 from django.views.generic import View import urllib.parse class DownloadTestView(View): def get(self, request): test_filename = 'test.pdf' response = HttpResponse(status=200, content_type='application/pdf') """ 〜なんかPDF生成処理する〜 """ response['Content-Disposition
English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo
let headerLine = axiosResponse.headers['Content-Disposition'] || axiosResponse.headers['content-disposition']; const fnameArr = headerLine.split(';'); let filename = fnameArr[fnameArr.length - 1].split('=')[1].replace('"', '').replace('"', ''); if (filename.indexOf(utf8Name) !== -1) { filename = decodeURI(filename.replace(utf8Name, '')); } return filename var filenameRegex = /filename[^;=\n]*=((['
FastAPIでファイルダウンロードさせる時のContent-Dispositionヘッダーの公開方法 - Qiita
FastAPIで、 Access-Control-Expose-Headers に Content-Disposition ヘッダーの公開を許可する FastAPI アプリケーションでは CORSMiddleware を使用して、CORSに関する設定ができます。 Access-Control-Expose-Headers レスポンスヘッダーで、レスポンスの一部としてどのヘッダーを公開するかを、その名前を列挙する必要があります。 CORSMiddlewareで、Access-Control-Expose-Headersを設定するには、 expose_headers に、公開したいレスポンスヘッダーを列挙します。デフォルトは [] です。 from fastapi import FastAPI from fastapi.middleware.cors import CORSMiddleware
ゴール Webブラウザを使ってアップロードしたファイルをCloudFront経由でダウンロードする。 ダウンロードしたファイルをブラウザで保存する時のダイアログには、S3のKeyとは別の任意のファイル名を指定できる。 上の「iOS の画像 (1).jpg」を content-disposition で指定する。 バージョン情報 JDK: amazon-corretto-11.0.3.7.1-windows-x64 Spring boot : 2.2.4.RELEASE AWS SDK for Java: 2.14.28 はまりポイント PutObjectRequest.Builder#contentDisposition(string)) の引数はURLエンコードを行う必要がある。 PutObjectRequest.builder().contentDisposition( "attach
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話) - ぶるーたるごぶりん
Content-Dispositionのデコードに見るリーダブルコードとは - Qiita
S3にファイルをアプロードして メタデータに content-disposition を設定する - Qiita