IEのMIME Sniffing - てきとうなメモInternet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。 Atom や RDF を利用したXSS - 葉っぱ日記 そもそもIEがContent-Typeを無視するということを知らなかったので,ちょっと調べてみた. 公式文書にはこのような感じに書かれている. MIME Type Detection in Windows Internet Explorer (Windows) 要約するとこんな感じかな. IEは以下の4つのデータをもとにMIME Typeを判断する. サーバが返すContent-Typeヘッダの値 実際のファイルの中身 ファイルネーム(URLから取得できる) レジストリの設定 MIME TypeはIEの内部で既知,未知,曖昧の3種類に分類される.既知はIEに
