Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話) - ぶるーたるごぶりん
English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo
久しぶりの技術ネタ。HTTPレスポンスヘッダの[Content-Disposition]について、Safariでの日本語文字化け対策など。 - maachangの日記
昨今では、ブラウザが以前のようにIEとNetscape2社だけだった・・っと言っても、これらに対応するWebアプリケーションを作るのは大変だったわけだが、現在は、IE、FireFox、GoogleChrome、Safari、Opera・・・って感じで、5種類のブラウザに対応しなければならないと言う悲劇があり、まあ大変ってわけだ。 描画系は、IE6やIE7が他のブラウザと違い独自臭がぷんぷんするわけだが、それ以外のブラウザIE8、FireFodx、GoogleChrome、Safariは、まあ、大体良く似ている感じである。 Javascript系は、IE系と、FireFox、GoogleChrome、Operaと、Safariとなっており、大まかに分けると、大体3つのグループに分かれる・・・って言っても、細かく言えばFireFox、GoogleChrome、Operaも、微妙に違うわけなのだ
![久しぶりの技術ネタ。HTTPレスポンスヘッダの[Content-Disposition]について、Safariでの日本語文字化け対策など。 - maachangの日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/186c815c448906da0837caa7b8f432af26fe8b96/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F17680117127134239667%2F17680117127134458653%2F1557990148)
HTTP :: Content-Disposition: inline / attachment [Tipsというかメモ]
例えば、ブラウザで jpeg ファイルを表示させるのでなく、ダウンロードさせたい場合、 HTTPヘッダー「Content-Disposition: attachment」を送出します。
S3のContent-Dispositionのブラウザ対応について調査してみた - Innovator Japan Engineers’ Blog
こんにちは、@gorou_178です。 主にtenpu の開発を担当しています。 tenpuはAWSを利用して構築しており、特にS3をよく使うのでS3について書こうと思います。 ユーザにサービス側で指定したファイル名でファイルをダウンロードさせたい場合、 Content-Disposition ヘッダーでファイル名を指定します*1 しかし、Content-Dispositionのattachment指定はブラウザによって対応状況がバラバラで対応に苦しんだ方も多いかと思います。S3に対してファイル名指定ダウンロードさせるには、S3にContent-Dispositionを指定するのですが、エンコード方法によってはエラーになったりしたため、S3側の対応状況を調査してみました。 結論 最新のブラウザでは、 S3に対して Content-Dispositionのfilenameを RFC 5987
Content-Disposition ヘッダを使って日本語のファイル名でダウンロードさせる - メモ用紙
ブラウザに次のような HTTP レスポンスヘッダを出力すると、任意のファイル名で出力内容をダウンロードさせることができる。 Accept-Ranges: bytes Content-Type: application/octet-stream Content-Disposition: attachment; filename=ファイル名 Content-Length: ファイルサイズ問題はファイル名が日本語の文字など、ASCII 以外の文字を含む場合である。ASCII 以外の文字をエンコードする方法はさまざまあり、ブラウザによって対応がまちまちである。 そこで次の PHP コードを用いてテストを行った。 download_test.php 手元の環境でテストした結果はこちら。 Opera 18 Chrome 31 Firefox 26 Opera 12 MSIE 8 MSIE 11 Saf
Test Cases for HTTP Content-Disposition header field (RFC 6266) and the Encodings defined in RFCs 2047, 2231 and 5987
Test Cases for HTTP Content-Disposition header field (RFC 6266) and the Encodings defined in RFCs 2047, 2231 and 5987 Please send feedback to julian.reschke@gmx.de. Related Reading Header Encoding RFC 2047 -- "MIME (Multipurpose Internet Mail Extensions) Part Three: Message Header Extensions for Non-ASCII Text" RFC 2231 -- "MIME Parameter Value and Encoded Word Extensions: Character Sets, Language
Internet Explorer 6 (IE6) での Content-Disposition: attachment と Cache-Control: no-cache によるダウンロードの問題 - Microsoft サポート
はじめに この資料では、 Internet Explorer 6 (IE6) で、特定の操作を行う HTTP ヘッダーが付加されているインターネット上のファイルを開くことができない問題について説明します。 現象 IE6 を使用して下記条件を満たすファイルを開いた場合、ファイル名が見つからない内容のエラーが発生し、ファイルを開くことができない場合があります。 ダウンロード対象となるファイルに Content-Disposition: attachment ヘッダーを付加している Cache-Control: no-cache ヘッダーなどを使用して、ファイルのキャッシュを行わない設定をしている 弊社では、 TXT ファイル、DOC ファイル、CSV ファイル、XLS ファイル、PPT ファイル、PDF ファイル等のファイルでこの現象の発生を確認しております。 上記条件を満たすファイルへのリン
公開: 2011年10月18日2時25分頃 既に「About the security content of iOS 5 Software Update (support.apple.com)」に出ていますが、JVNの方でも公開されました……「JVN#41657660 iOS 上の Safari におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」。 書いてあるまんまですが、iOS上のSafariがContent-Disposition: attachmentの指定を無視するという問題でした。 これを届け出たのは、2010年の8月のことです。9月のCSS Niteでしゃべることになっていたのですが、会場のアップルストアではWindowsマシンの持ち込みが原則禁止となっています。私はMacを持っていないのでどうしようかと思ったのですが、せっかくなので、当時話題だったiPadでプレ
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アクセス制御 (CORS) HTTP
ファイルダウンロードするプログラムを作成する際にはHTTPヘッダに下記の表記を追加します。 Content-Disposition: attachement; filename=<ファイル名> しかし、ダウンロードファイルに日本語や記号を含む場合、なにもしないと文字化けが発生します。 これは、各社のブラウザがContent-Dispositionのフォーマットに関する実装をRFC通りに実装していなため、英語圏以外で問題が発生しています。 ファイルをダウンロードする ASP.NET Web ページで日本語ファイル名が文字化けする 原因 Internet Explorerでは、Content-Disposition ヘッダが送信された場合、送られてきたコンテンツをそのままブラウザで開かずにファイルダウンロードダイアログを表示するようになっています。その際にこのヘッダの filename
PhantomJS で Content-Disposition: attachment なレスポンスを取得する方法 - Qiita
はじめに とあるサイトに定期的にログインして利用履歴のCSVを取ってくるというプログラムを AppleScript + Safariで書いていたがいちいち Safari が起動してめんどくさいので、PhantomJS で書きなおすことにした。 さっそく PhantomJS の最新版(1.9.2) をインストールして、スクリプトを書いた。コードは下記のとおりである(簡易化してある)。 page = (require 'webpage').create() callbacks = [ -> # ログイン画面の処理 page.evaluate -> document.getElementById('user').value = 'user' document.getElementById('pass').value = 'pass' e = document.createEvent('Mouse
Content-Disposition: attachment; filenameのrfc 6266形式 - Qiita
書き出すと長くなるので要点のみ。 また例に漏れず試行錯誤の混乱中に書いているので要注意。 失敗時は大抵URL末尾がファイル名になる。 日本語ファイルの文字化けつらひ。 Chrome 62 NG filename*="utf8''urlエンコードされたファイル名" e-mailでもたまにある属性値をダブルクォーテーションで囲む形式。 追記 filename自体へのダブルクォーテーションは可のようだ。 Note: This uses the quoted-string form so that the space character can be included. 引用符があるのでスペースを含めることができるが、URLエンコードするfilename*には関係がない。 RFC 6266 - Use of the Content-Disposition Header Field in the H
HTTP のレスポンスヘッダーには Content-Disposition というフィールドがあり、クライアントにファイル保存時のファイル名を指定できる。 curl と wget で、このフィールドを参照してファイル保存する方法をメモ。 via http://superuser.com/questions/301044/how-to-wget-a-file-with-correct-name-when-redirected 実験するダウンロード用 URL 深い理由はないけれども、 次の vim スクリプトをダウンロードしたい。 $ curl -I "http://www.vim.org/scripts/download_script.php?src_id=19574" HTTP/1.1 200 OK Server: Apache/2.2.15 (CentOS) Vary: Host Con
![[curl/wget]Content-Dispositionのファイル名でダウンロードする](https://cdn-ak-scissors.b.st-hatena.com/image/square/8d71ff5111e05619a10d29bb40d7aebaa75c8fbc/height=288;version=1;width=512/https%3A%2F%2Fs0.wp.com%2Fi%2Fblank.jpg)
wgetでContent-Dispositionに書いてあるファイル名でダウンロードする方法 - キモブロ
自分も知らなかったけど、--content-dispositionってのをオプションに付加するとそうなるらしいですね。 Content-Disposition - オレの劣化が止まらない $ wget http://github.com/mikecrittenden/bluetrip/tarball/master # masterって名前でファイルが保存される $ wget --content-disposition http://github.com/mikecrittenden/bluetrip/tarball/master # mikecrittenden-bluetrip-990835d.tar.gz って名前でファイルが保存される
ref:http://phpspot.org/blog/archives/2008/02/phpdlphp.html ref:http://b.hatena.ne.jp/entry/http://phpspot.org/blog/archives/2008/02/phpdlphp.html phpspot もどうかと思うが、これでブックマークが 280 とかついているのをみると、 これだから PHP ユーザは と言いたくもなるというものであります。いや、ツッコミこみのコメントをしている人もいるけど。 とりあえず、 Content-Disposition ヘッダに disposition-type がない。これだと Content-type: charset=utf-8 みたいなもんですよ。 filename の部分は引用符で囲め ZIP なのに Content-type が applica
ファイルダウンロード処理において、レスポンスヘッダー Content-Disposition に attachment; filename= に日本語を設定すると文字化けする - 不会忘記的一天
いろいろと回避方法があるようだが Safariに関してはこの方法では文字化けは不可避らしい… う〜ん困った… 回避方法 ブラウザ 対応 IE6,7,8 URLエンコーディングで回避できる(java.net.URLEncoder#encode() を使用する) FireFox3.5 MIME-Bエンコーディングで回避できる(javax.mail.MimeUtility#encodeWord() を使用する) Chrome4.0 [FireFox]と同じ Safari どう足掻いても化けるので、サニタイジングを行うなどの処理が必要 実装 このような条件でファイル名を変換 User-Agentの条件をもっと細かく見る必要があるかもしれない(?) // User-Agent取得 String agent = request.getHeader("User-Agent").toUpperCase()
Struts2 Content-Disposition filename null-byte variant of CVE-2017-5638
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Document #: 251-91193 Problem: RFC 1806 (Communicating Presentation Information in Internet Messages: The Content-Disposition Header) の概要について教えて下さい。 Solution: はじめに MIME は、<Content-Type> ヘッダーフィールドによって、メッセージの内容(コンテント)がどのようなデータであるかを明記する方法を規定していますが、そのメッセージをどのように表示(Presentation)すべきかという処理(Disposition)の仕方までは規定していません。RFC 1806 は、<Content-Disposition> ヘッダーフィールドを使用することによって、メッセージの内容を添付ファイル(Attachment)として表示する
HTTP Guides Resources and URIs Identifying resources on the Web Data URLs Introduction to MIME types Common MIME types Choosing between www and non-www URLs HTTP guide Basics of HTTP Overview of HTTP Evolution of HTTP HTTP Messages A typical HTTP session Connection management in HTTP/1.x Protocol upgrade mechanism HTTP security Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Co
RFC 6266: Use of the Content-Disposition Header Field in the Hypertext Transfer Protocol (HTTP)
Internet Engineering Task Force (IETF) J. Reschke Request for Comments: 6266 greenbytes Updates: 2616 June 2011 Category: Standards Track ISSN: 2070-1721 Use of the Content-Disposition Header Field in the Hypertext Transfer Protocol (HTTP) Abstract RFC 2616 defines the Content-Disposition response header field, but points out that it is not part of the HTTP/1.1 Standard. This specification takes o
実験のコーナーです。 WEB+DB PRESS を読んで、気になったことを試してみる。 WEB+DB PRESS Vol.48 作者: 大沢和宏,高橋征義,山本陽平,高塚遙,高林哲,小飼弾,はまちや2,角田直行,田淵純一,伊野友紀,鈴木啓修,古谷洛人,伊藤直也,田中哲,太田一樹,松田明,鶴岡直也,佐藤竜一,cho45(さとう),吉田俊明,福島克輝,渡部広志,矢作浩,森田創,縣俊貴,大塚知洋,武者晶紀,ミック,下岡秀幸,nanto_vi,田中洋一郎,WEB+DB PRESS編集部出版社/メーカー: 技術評論社発売日: 2008/12/22メディア: 大型本購入: 4人 クリック: 32回この商品を含むブログ (30件) を見る 気になったのは、以下のヘッダをレスポンスに含めることで、ブラウザに対して結果を表示するのではなくファイルに保存させるというはなしについて。 Content-Dispo
module ActionController module DataStreaming def send_file_headers_with_utf8!(options) send_file_headers_without_utf8!(options) match = /(.+); filename="(.+)"/.match(headers['Content-Disposition']) encoded = URI.encode_www_form_component(match[2]) headers['Content-Disposition'] = "#{match[1]}; filename*=UTF-8''#{encoded}" unless encoded == match[2] end alias_method_chain :send_file_headers!, :utf8
GitHub - semenko/chrome-force-pdf-inline: A Chrome extension to force PDFs to render inline (overrides Content-Disposition: attachment).
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Using Content-Disposition header - forcing SaveAs in browsers - Javascript Tricks and Code Examples
There are situations (to save a documentation in pdf format or a financial document) where you might want a hyperlink leading to a file to present a SaveAs dialog in browser. Ways to do that exist. However, flaky browser support makes its usage a walk in the mine field. Forcing SaveAs using javascript in Internet Explorer By means of javascript you can provide a dialog to save the page that is cur
Content-Disposition: inline; filename="attachment.html" を出力してもファイルをダウンロードしてしまう
eラーニングシステムMoodleの改良を行っている白井と申します. 今回,Moodle上のWiki (eWiki) で半角アルファベットattachment(大文字,小文字,混在関係なく)を含むページを作成すると,IE8では編集も閲覧もできず,ページがテキストファイルとしてダウンロードされてしまう現象に遭遇しました.色々と調べてみた結果,PHPでheader()関数によりヘッダーを送信する箇所に現象の間接的原因があることが分かってきました.それがタイトルの通り,Content-Dispositionに関わる箇所です. Content-Disposition: inline; filename="attachment.html" たとえばfilename="ほにゃらら.html"の箇所が,aaaaaaattachmenttttt であっても,AttAchmentであっても,IE8はインライン
Content-Disposition によるダウンロードファイル名の指定について - とあるベンチャーのCTOの日記
Content-Disposition ヘッダーによるダウンロード時のファイル名の指定について、色々調べたことをまとめます。 まずファイル名の指定方法には2種類あり、ブラウザによって対応状況が違います。 - attachment; filename="hogehoge.pdf" - attachment; filename*=uti-8'ja'hogehoge.pdf いずれも RFC 5987 に規定されている書き方に準拠しているので、両方とも正しいです。 IE の場合、IE9 は両方に対応していますが、IE6-8 は前者のみに対応しています。 Chrome (18.0) と Firefox (11.0) は両方に対応しています。Safari (5.1.5) は前者のみで、2バイト文字の取り扱いはできません。 ファイル名はパーセントエンコードする必要があります。パーセントエンコーディング
SilexでVolcanus_CsvとStreamedResponseを使ってCSV出力・Content-Dispositionヘッダの設定方法いろいろ - k-holyのPHPとか諸々メモ
先日公開したCSV入出力用ライブラリ Volcanus_Csv ですが、実際に使わないと改善点も見えてこないので、あれこれやってみます。 今回は Silex で Volcanus_Csv のレスポンス出力を利用せず、通常のコントローラと同様に Response オブジェクトを利用してみました。 元々レスポンス出力機能を付けたのは、Symfony HttpFoundation 単体でファイルのダウンロード用レスポンスを生成する方法が分からなかったことが理由の一つなんですが、これについてはタイトルの StreamedResponse クラスを使うことで解決できました。 Response クラスを継承した StreamedResponse クラスは第1引数にレスポンスの内容そのものではなく、内容を出力するコールバックを受け付けるので、データベースやファイルの内容を読み込みつつ出力することが可能に
Email::MIME::ContentType が build_content_type と build_content_disposition を提供するようになっていた - その手の平は尻もつかめるさ
Perl の話です. metacpan.org Email::MIME::ContentType 1.023 (なお本バージョンは TRIAL Release となっています) 以降から build_content_type と build_content_disposition という関数が追加されています.それぞれ名前の通り Content-Type と Content-Disposition を構築する責務を担っています. テストコードから一部拝借すると, use Email::MIME::ContentType; my $content_type = build_content_type({ type => 'text', subtype => 'plain', attributes => { charset => 'us-ascii' } }); # => 'text/plain
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
iOSのSafariがContent-Dispositionを無視する問題が修正された | 水無月ばけらのえび日記
Content-Disposition - HTTP | MDN
Content-Disposition FireFoxとIEの挙動の違い - 開発者の談話室
[curl/wget]Content-Dispositionのファイル名でダウンロードする
Content-Disposition - odz buffer
IBM - RFC 1806: Content-Disposition ヘッダーについて(概要)
Content-Disposition - HTTP | MDN
Content-Disposition ヘッダのファイル保存命令の実験 - Foo am I?
Content-Disposition の日本語問題 - Qiita