機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ
X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記
2011-01-06: IE8ということを追記 & ちょっと間違いを修正。あけましておめでとうございます。 年明け早々ですが、Internet Explorerの話題です。IEはご存じの通り、Content-Type だけでなくコンテンツの内容なども sniff することでファイルタイプを決定しているため、画像ファイルやテキストファイルをHTMLと判定してしまい、クロスサイトスクリプティングが発生することが昔からたびたび報告されていました*1。現在は幾分マシになったとはいえ、IEのファイルタイプの判定アルゴリズムは非常に難解であり、現在でも状況によってはWebサイト運営者のまったく意図していないかたちでのXSSが発生する可能性があったりします。そういうわけで、IEがコンテンツを sniff してHTML以外のものをHTML扱いしてしまうことを防ぐために、動的にコンテンツを生成している場合に
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
[無視できない]IEのContent-Type無視:教科書に載らないWebアプリケーションセキュリティ(2)(1/2 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer(以下、IE)の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。
![[無視できない]IEのContent-Type無視](https://cdn-ak-scissors.b.st-hatena.com/image/square/f8699f6fec76c2d2b8f650af7a420b6f67f0ebfe/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0903%2F30%2Fwebapp0201.jpg)
perl の CGI や PHP でよく出力する Content-type ヘッダ一覧 (MIME-type) | perl/CGI | 阿部辰也のブログ――人生はひまつぶし。
ここ数日、perlやPHPでファイルのダウンロード確認ダイアログを表示させる方法へのアクセスが、すば抜けて多いです。 こういうスクリプトを書こうとしている人って多いんでしょうか。 なので、件のエントリーの補完ということで、今回は perl の CGI や PHP で個人的によく出力する or 今後出力する機会がありそうな Content-type ヘッダをまとめておきます。 まとめとけば自分が後で一番楽だし。 テキスト・文書・MSオフィス関連 ファイルの種類 拡張子 MIME-Type
JSONとContent-Type サーバサイドからJSONを吐き出すときのContent-Typeなのですが、各ブラウザによって対応がちょっと違います。 下の表にまとめてみました。 ×のところはeval中にエラーがでます。 Content-type WinIE Firefox Safari Opera(8.5) text/javascript ○ ○ △ × text/javascript; charset=utf-8 ○ ○ ○ × text/javascript; charset=utf8(utf-8の間違い) × ○ ○ × text/javascript+json ○ ○ △ × text/javascript+json; charset=utf-8 ○ ○ ○ × text/html; charset=utf-8 ○ Safariでマルチバイトな文字を含む場合は、「charse
content-type一覧
plain richtext enriched tab-separated-values html sgml vnd.latex-z vnd.fmi.flexstor uri-list vnd.abc rfc822-headers vnd.in3d.3dml prs.lines.tag vnd.in3d.spot css xml rtf directory calendar vnd.wap.wml vnd.wap.wmlscript vnd.motorola.reflex vnd.fly vnd.wap.sl vnd.wap.si t140 vnd.ms-mediapackage vnd.IPTC.NewsML vnd.IPTC.NITF vnd.curl vnd.DMClientScript parityfec RFC2646/RFC2046 RFC2045/RFC2046 RFC189
RSS(RSS1.0、RSS2.0)のフォーマット・仕様についてのメモ。RSSを扱っているサイトのほとんどは、RSS1.0かRSS2.0を使っている。 RSS1.0のフォーマット・仕様 RSS1.0は、以下のような構造になっている。 <?xml version="1.0" encoding="UTF-8"?> <rdf:RDF xmlns="http://purl.org/rss/1.0/" xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#" xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:content="http://purl.org/rss/1.0/modules/content/" xml:lang="ja"> <channel rdf:about="サイトのRSSのUR
ajax - Content-Type: 許容判定
一部のブラウザでは、XMLHttpRequest 通信時に XML ファイルに利用できる Content-Type: が制限されます。 下記の[判定する]ボタンを押すと、 現在ご利用のブラウザにおける XMLHttpRequest の Content-Type 許容状況を判定します。 new XMLHttpRequest() new ActiveXObject( "Msxml2.XMLHTTP" ) new ActiveXObject( "Microsoft.XMLHTTP" ) new ActiveXObject( "Microsoft.XMLDOM" ) XMLHttpRequest
補足編:機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記」の補足編です。 結局、よくわからないんだけど。 よくわからない場合は、とにかく全てのレスポンスに X-Content-Type-Options: nosniff をつけましょう。 機密情報を含むJSONにX-Content-Type-Options:nosniffをつける理由はわかったけど、「あらゆる」コンテンツにつける理由はなぜ? 機密情報を含まなくても、<script>のような文字列を含むコンテンツをIEで直接開いた場合にはXSSにつながる可能性もあります。どのようなコンテンツにX-Content-Type-Options:nosniffが必要かを考えるくらいであれば、全てのコンテンツに付与したほうが間違いがなくていいでしょう、ということです。 IEのためだけの問
デコメール(dmt)、デコレーションメール(khm)、デコレメール(hmt)の仕様 - ファイルサイズ、ダウンロード方法、拡張子、Content-Type
デコメール絵文字 デコメールにインラインで画像の絵文字を使用できる。 仕様は各社ほぼ同じ。 ファイル形式:JPEG、GIF、アニメーションGIF 拡張子:.jpg、.gif 画像サイズ:縦20dot×横20dot Disposition(auの場合):devdmjp(JPEG)、devdmgf(GIF) ※デコメテンプレートのDispositionではない。 デコメールの仕様は、基本はHTMLメールと同じ。 基本的なHTMLタグが使える。 各社デコメールのバージョンによって使用できるタグが違うので注意。 端末が扱えるデコメールのファイルサイズの上限は、各キャリア基本は100KB。 インライン画像は最大20個までが標準的。 新しい端末ではそれらの上限が高くなっている。 端末が扱えるファイルサイズが10KBまでの下位の端末は、サイトでは非対応にすることがある。 デコメールをサイトで配信するため
Heads up: nosniff header support coming to Chrome and Firefox https://github.com/blog/1482-heads-up-nosniff-header-support-coming-to-chrome-and-firefox ChromeとFirefoxでnosniffってどういうことなんだろうと思って少し調べた。 IE8から、X-Content-Type-Options: nosniff があった場合は、ファイルの中身を自動判別する機能が無効になる。htmlじゃないものが自動判別でhtmlだと誤判別されて表示されることで起こるXSSを防ぐことができる。 Internet Explorer 8 のセキュリティ Part VI: Beta 2 の更新項目 http://msdn.microsoft.com/ja-j
以前、Ajax通信で結果を出力する際XMLデータだったので、Content-Typeを「application/xml」か「text /xml」にしようと、RequestHandlerのメソッド(setContent)をいろいろ試したのだが、いつも「text/html */*」となり、なかなか思うように出力できなかった。あの時は、クライアント側で支障なく利用できたので、放り出してしまった。 今回、クライアント側のJavaScriptで扱いやすいように、JSONでデータを出力することにしたので、前回クリアできなかったハードルに再 挑戦することとなった。と言っても、CakePHPについは世界中で多くの情報が公開されているため、作業は検索と動作チェックだけだったけど (^_^;)。 お題は、「ユーザ番号をAjaxのGETで渡し、DBのユーザ情報をJSONで出力する」という、簡単なお話し。クライア
Flash Liteの仕様(フラッシュ, swf) - ファイルサイズ、再生方法、ダウンロード、拡張子、Content-Type
拡張子 .swf Content-Type application/x-shockwave-flash Flash Liteは、携帯電話向けのFlashで、1.1、3.0などのバージョンがあります。 携帯サイトでは、Flash待ち受けやFlashゲームとして配信されています。 Flashファイルの拡張子が.swfなので、Flashのことをswf(えすだぶりゅえふ)と呼ぶ人もいます。 Flash Lite 1.1から外部データの読み込みに対応し、swfファイルから外部の音声ファイルを読み込むなど、よりリッチなコンテンツを制作できるようになりました。 基本的に3キャリア対応のサイトを作る場合は、バージョンはFlash Lite 1.1で、ファイルサイズを100KB以内で制作します。 インライン再生の場合は、ページの容量なども合わせて100KB以内になるように制作します。 Flash Lite
s3fsよりも高速なgoofysが待望のContent-Type自動設定をサポート | DevelopersIO
西澤です。S3バケットを直接マウントして高速に使えるgoofysが待望のContent-Typeの自動設定をサポートしたとの情報を見つけたので、早速試してみることにしました。 kahing/goofys: a Filey System for Amazon S3 written in Go Use /etc/mime.types to set Content-Type accordingly · Issue #54 · kahing/goofys Content-Typeとは S3にオブジェクトを配置する際には、システムメタデータを設定することができます。S3のウェブホスティング機能を使ってWEB公開する場合、ブラウザは配置されたオブジェクトのContent−Typeを参照して挙動を変える為、WEB公開するオブジェクトには適切なContent−Typeを仕込んであげる必要があります。 AW
_ pagination Webアプリケーションでは、リストが長くなった時に複数ページに分けて、 「次へ」「前へ」のようなナビゲーションを行うことが多い。 たとえば、Googleの検索結果みたいな。 これって結構面倒なのだが、Railsではpaginateというメソッドによって 簡単に実装できる。 まずは、コントローラ側のコードに、 def list @question_pages, @questions = paginate(:question, :per_page => 5, :conditions => "category_id = 1", :order_by => "date desc") end のように書いておく。 paginateの第一引数にはモデルの名前*1、 第二引数には以下のようなオプションを指定できる。 class_name モデルのクラス名 per_page 一ペー
「拡張子ではなく、内容によってファイルを開くこと」の拡張子は Content-Type ではないことに注意 - 葉っぱ日記
少し前に JSONP が XSS を引き起こすかもしれないという点に関する興味深い記事を奥さんが書かれていました。 Kazuho@Cybozu Labs: JSONP - データ提供者側のセキュリティについて JSONP における Padding 部分(だけでなくJSON部分も。4/5追記)に攻撃者が HTML と解釈可能なスクリプトを注入することにより、JSONP なデータを直接 IE で開いた場合に HTML と解釈され XSS が発生する、という点について書かれています。 ここで、IE が JSONP を HTML と解釈する理由は以下の2点。 IEのよく知られた機能「拡張子ではなく、内容によってファイルを開くこと」により、内容が HTML っぽい場合には、Content-Type: text/javascript が無視され HTML として解釈される。 上述の設定が「無効」に設定
MIMEタイプ(Content-Type:)- 携帯サイト、SMAF着メロ、着うた、動画、iモーション、iアプリ、Flash Lite、デコメール
MIMEタイプ(Content-Type:)- 携帯サイト、SMAF着メロ、着うた、動画、iモーション、iアプリ、Flash Lite、デコメール
Content-Typeエンティティヘッダフィールドは適切なものを指定してください - Web標準普及プロジェクト
Content-Typeエンティティヘッダフィールドは適切なものを指定してください HTTPレスポンスヘッダにはContent-Typeエンティティヘッダフィールドという部分があります。 例えばHTMLファイル(*.htmlもしくは*.htm)を送信する際にWebサーバは通常、次のようにヘッダを送信します。 Content-Type: text/html; そう、文字コード宣言をHTMLで行う場合はこのヘッダにcharsetに指定されていない場合に、 それを補填するためにmeta要素で記述していたのです。 Content-Typeエンティティヘッダフィールドとは? Content-Typeエンティティヘッダフィールドとは何でしょうか? これはWindowsやUnix系OSで言えば、拡張子のようなものです。 送信されたデータがどのような内容のものかを示す情報なのです。 なぜ、拡張子とは別にこ
Apache mod_headersでできます Header set X-Content-Type-Options nosniff Nginx add_header X-Content-Type-Options nosniff; 但し、上記だとproxyなんかで既にX-Content-Type-Options: nosniff;が付いていると X-Content-Type-Options: nosniff, nosniff のようなヘッダになってしまう。問題ないかもしれないが気になる場合はNginxHttpHeadersMoreModuleを使って more_set_headers 'X-Content-Type-Options: nosniff'; とすると良いのかも。 Plack Plack::Middleware::Headerを使うと簡単です。 enable 'Header', s
Content-type:text/htmlのcharset指定はUTF-8,utf-8,utf8どれが正しいの?調べてみた。 · DQNEO日記
Home Subscribe UTF-8? utf-8? UTF8? utf8? 気になったので調べてみました。 結論 公式名称は "UTF-8" である。 UTF-8, a transformation format of ISO 10646 大文字小文字は区別されない。 UTF-8でもutf-8でもどちらでもいいようです。 " HTTP character sets are identified by case-insensitive tokens. " Hypertext Transfer Protocol -- HTTP/1.1 したがって、 Shift_JIS/shift_jis EUC-JP/euc-jp どちらでもOKということになります。 気になるあのサイトでは? 世の中的にはこうなっていました。(2011/8/17現在)
JSONとJSONPのContent-typeに書くMIMEタイプ - kanonji’s diary
ファイル 正しいMIMEタイプ RFC IE用 json application/json http://www.ietf.org/rfc/rfc4627.txt RFC通り jsonp application/javascript http://www.ietf.org/rfc/rfc4329.txt text/javascript JSONの場合はapplication/jsonだけど、JSONPって実体はコールバック関数でJSONを包んだ単なるJavaScriptなので、MIMEタイプはJavaScriptと同じです。JavaScriptのMIMEタイプは、以前はtext/javascriptだったけど、2006年4月にRFC4329が出てapplication/javascriptになったんだとか。 IEって使えない Internet Explorer 7 では applicati
HTTP Header の Content-Type に charset=Windows-31J を指定すると、IE で javascript の XmlHttpRequest#responseText がエラーになる件に悩んでいる人たちに朗報 - 夜の Discovery
タイトルが長すぎですが、Shift_JIS 前提のページだと jsp の先頭で、 <%@ page language="java" contentType="text/html;charset=Windows-31J" %> とかやったりすると思いますが、このページを ajax で取ってくると、 IE は Http Header の ContentType の charset=Windows-31J が解釈できないため、 以下のようなソース(prototype.js ベース)の場合、request.responseText の時点でエラーが発生します。 new Ajax.Request( 'hoge.jsp', { method: 'get', parameters: params, evalScripts: true, onComplete: function(request) { if
京都産業大学Webサイト
HTTP-Header (Apache, IIS): Content-Type, PHP etc. entschlüsseln
Header-Anzeige-Script Zeigt, welche versteckten "Header"-Daten ein HTTP-Server beim Aufruf einer Webseite mitsendet. Apache, IIS und andere Webserver senden HTTP-Header mit Informationen über die Eigenschaften der übermittelten Datei - oft auch darüber, ob eine Website mit PHP generiert wird oder ob beim Aufruf ein Cookie gesetzt wird. Einfach hier die Internet-Adresse eingeben HTTP-Header: Auf je
今回から3回にわたって,ratproxyが検出するぜい弱性のうち特徴的なものについて説明しましょう。前回挙げた(1)~(6)のぜい弱性のうち(1)Content-TypeやCharset指定の誤り,(2)write()などのJavaScript関数,(3)JavaScript Hijack/JSON Hijackの3種類を取り上げます。ここでは,ratproxyの挙動面だけではなく,ぜい弱性自体に関する技術的な内容についても説明をしますので,当面ratproxyを使用する予定がない方も参考にしていただければと思います。 まず今回は,(1)のContent-Type指定の誤り(XSSの危険性)です。 HTTPレスポンスには,通常「Content-Type: text/html; charset=UTF-8」といったレスポンス・ヘッダーが付けられます。このヘッダーは,「返信されるコンテンツがH
IEでjpegとPNG画像をアップロードする際、MIME Type(Content Type)が普通と違う件 - kanonji’s diary
アップロードされたファイルが画像かどうかを判別する際、MIME Typeを見る方法があります。 この情報は、ブラウザの自己申告なため、悪意をもって全然別のMIME Typeを送信する事も可能*1ですが、IEもMIME Typeを偽装?してきます。 jpeg image/pjpeg PNG image/x-png IE6〜IE8では、それぞれこのようなMIME Typeを送ってくるようです。 ようです。と書いてるのは、IE8でしか試していないからです。 IE8で2、3枚のjpegとPNG画像を実際にアップロードして、このMIME Typeになる事を確認しました。 正しいMIME Typeを送出する場合もあるかもしれませんが、判別できさえすればよかったので、なぜこんなMIME Typeになるかは調べてません。 IE6とIE7に関しては、同様の報告をしてる記事を他に見かけました。 これらの情報を
LWP::UserAgentでdecoded_contentしたら特定のContent-Typeで文字化けするのでハックした - (゚∀゚)o彡 sasata299's blog
2009年04月25日11:42 Perl LWP::UserAgentでdecoded_contentしたら特定のContent-Typeで文字化けするのでハックした 実は今日、URLを入力してもらって、そのURLのタイトルを返す、みたいな処理をするコードを作ってました。で、大体のサイトは何も問題が無いんですけど、一部のサイトではうまく動いてくれないんです。。。 ちなみにコードはこんな感じです。すごく普通ですw #!/usr/bin/perl use strict; use warnings; use Encode qw(encode_utf8); use LWP::UserAgent; print get_title(), "\n"; sub get_title { my $ua = LWP::UserAgent->new; my $res = $ua->get("http://www
GitHub - technoweenie/attachment_fu: Treat an ActiveRecord model as a file attachment, storing its patch, size, content type, etc.
attachment-fu ============= attachment_fu is a plugin by Rick Olson (aka technoweenie <http://techno-weenie.net>) and is the successor to acts_as_attachment. To get a basic run-through of its capabilities, check out Mike Clark's tutorial <http://clarkware.com/cgi/blosxom/2007/02/24#FileUploadFu>. attachment_fu functionality =========================== attachment_fu facilitates file uploads in Ruby
FlutterでFirebase StorageにアップロードするとiOSではcontent-typeが自動で推測されないFirebaseFlutterFirebaseStorage 気がするんだけど本当? 同じ画像をアップロードした際、iOSではcontent-typeがapplication/octet-streamになって、Androidではimage/jpegになった。なぜiOSで推測されないのか気になるから追ってみました。ソースを見てきちんとそうなることを確認したかったのです。 ただ先に言っておくとiOSで推測されないのは確かなので、解決法としては自分でcontent-typeをつけるのがメジャーになるとは思います。この記事はcontent-typeがつかない問題の解決法を教えるのではなく、ソースを追って、確かに推測されてない!!!ってなるための記事です。 Flutterのdar
すると以下のように勝手に変更される、あるいは変更されません。これは Firefox のアドオンである Firebug を使うと確認することができますので、ヘッダの確認の際はこれを使いましょう。 $this->header() を使う CakePHP 2.0 で Content-Type を設定するには以下のようにするようです。以下のページに書いてありました。 CakePHP – Change the content-type
FirefoxのContent-Type敏感問題にグリモンで対策する(yahoo ブログ 画像 文字化け) - Cherenkovの暗中模索にっき
OCNのブログサービス「ブログ人」で画像をupすると何らかの理由で拡張子が付かないことがある。 するとfirefoxユーザに問題が発生する。 この問題の影響を受けるユーザ OCN、yahooでブログを書いてるユーザ 掲示板やチャットで画像URLをやりとりするユーザ この問題による現象 例えばココの画像のURLに直接アクセスする場合 http://rnc.blogzine.jp/photos/uncategorized/2008/09/04/200809041524000 http://rnc.blogzine.jp/photos/uncategorized/2008/09/04/200809041525000 http://rnc.blogzine.jp/photos/uncategorized/2008/09/04/200809041518002.jpg 上二つの拡張子が無い画像は文字化
(Last Updated On: 2018年8月8日)Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)は HTTPプロトコルのContent-Typeヘッダーでリモートからコード実行ができる という問題です。どうして「Content-Typeヘッダー」でコード実行ができたのか?気になったので調べたメモです。 コード実行ができた理由は「国際化(翻訳)用のメッセージ処理メソッドが、プログラミング言語のようにパースして実行する仕様」であったことでした。気にしていないとこのパターンでリモートコード実行ができてしまうコードも在ると思います。 Struts2修正版(2.5.10.1)で変更された箇所 バージョン番号やテストプログラム除く変更箇所は以下の部分です。 --- a/core/src/main/java/org/apache/struts2/i
application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
http pkg を使って postする際、 リクエストヘッダの違いで、若干ハマったのでメモ。 はじめに net/http pkg の使い方に関しては、 こちらの記事が詳しいので、参考にさせていただきました。 Go net/httpパッケージの概要とHTTPクライアント実装例 コード例 ■パラメータをURLエンコードする場合 要はContent-Type が、 application/x-www-form-urlencoded の場合です。 net/url pkg で定義されている type Values を使ってます。 https://golang.org/pkg/net/url/#example_Values package hoge import ( "net/http" "net/url" "strings" ) func HttpPost(url, token, device s
content-typeを修正するCGIスクリプトをpolipoで使う - http://rubikitch.com/に移転しました
Yahoo!ブログの画像のcontent-typeがtext/plainになってやがるからw3mじゃ画像が見られん。なんという手抜きだ(怒) 以前もcontent-typeがおかしいと苦情を送ったのだがシカトされたし。 IEとかでtext/plainな画像が見られるのは、IEが間違っているということ。標準に照し合わせると見られないのが正しい。 しかし、わめいていても始まらないので速攻でCGI proxyを書いてみた。プライベートなローカル鯖に置いておくと吉。ここでは http://127.0.0.1:9998/cgiproxy/set-content-type.cgi に設置するものとする。 #!/usr/local/bin/ruby require 'open-uri' content_type, url = ENV['QUERY_STRING'].split(/:/, 2) puts
記事のカテゴリ blogs 使い方 MOM2005 ツール SQL Server 2000 SQL Server 2005 WISH SQL Server 2005 データベーススナップショット FAQ SQL Server 2005 データベースミラーリング FAQ SQLServer トリビア WebControls イベント オートデモ セキュリティ TIPS ブログ ブログのネタ 機械翻訳くん 投票 過去の記事 2009年9月 (11) 2009年8月 (18) 2009年7月 (6) 2009年6月 (4) 2009年5月 (3) 2009年4月 (2) 2009年3月 (11) 2009年2月 (1) 2009年1月 (3) 2008年12月 (3) 2008年11月 (1)
TwitterAPIを利用したプロフィール画像更新はcontent-typeがimage/*じゃないとコケる – ぱんぴーまっしぐら
TwitterAPIを利用したプロフィール画像更新はcontent-typeがimage/*じゃないとコケる。 正確にはステータス200が返ってくるけど、更新されないからもっとタチが悪い。 Twitter REST API Method: account?update_profile_image curl、rubyによるサンプルコードが載ってるけど、「Expect」ヘッダは不要。 PEAR公式のServices_Twitterを利用していたが、update_profile_imageが上手くいかない。 まだドキュメントが整理されていないので、ソースを読むかテストをみて、利用法を確認したが問題なし。 リクエストをトレースしてみたところ、content-typeが「application/octet-stream」だったのが気になったので「image/jpeg」にしてみたところ、画像の更新に成
I learned about X-Content-Type-Options on Hasegawa Yosuke's blog. But his article is little misleading. Content-sniffing is long-lived feature. In the old days, Marc Andreessen wrote about his (Mosaic's) first implementation of IMG element: For the time being, inlined images won’t be explicitly content-type’d; down the road, we plan to support that (along with the general adaptation of MIME). Actu
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[無視できない]IEのContent-Type無視
JSONとContent-Type : blog.nomadscafe.jp
RSSのフォーマット・仕様・構造 - RSS1.0、RSS2.0、Content-Type
X-Content-Type-Options: nosniff の効果
CakePHP AjaxでJSONデータの出力の仕方とcontent-typeについて – MT Systems
pagination, pagination with ajax, Content-Type の指定方法, 子どもの写真, 速度, 高速化 - Journal InTime(2005-04-22)
X-Content-Type-Options: nosniffのつけ方 | へぼい日記
</title> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <script type="text/javascript" src="swfobject.js"></script> <script type="text/javascript"> swfobject.registerObject("myFlashContent", "9.0.0"); </script> <script
MIME Content-Type 表 | コンピュータ環境の使い方 | 京都産業大学
Content-Typeなどでクロスサイト・スクリプティングの危険度をチェック
FlutterでFirebase StorageにアップロードするとiOSではcontent-typeが自動で推測されない - Qiita
CakePHP 2.0 で Content-Type を変更する方法
Struts 2の脆弱性でHTTPのContent-Typeヘッダーからリモートコード実行ができる理由
Content-Typeの一覧 - Qiita
Go言語 http POSTする際のContent-Type - Qiita
HTTP ヘッダーに X-Content-Type-Options: nosniff を追加
X-Content-Type-Options: nosniff - Kato Kazuyoshi