Firefox 51 以降、image/*、audio/*、video/* あるいは text/csv といった誤った MIME タイプで配信された JavaScript ファイルはセキュリティ上の理由から読み込まれず、NetworkError が投げられます。HTML <script> 要素、new Worker()、new SharedWorker()、importScripts メソッドがすべて影響を受けます。あなたのスクリプトが text/javascript や application/javascript といった適切なタイプで配信されていることを確認してください。
この記事は、2016 年 8 月 26 日付で Mozilla Security Blog に投稿された Mitigating MIME Confusion Attacks in Firefox(筆者: Christoph Kerschbaumer)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。 web サーバが Content-Type を指定しなくとも、web ブラウザはファイルの内容をスキャンしてファイル形式を判別することができます。例えば、スクリプトを受信するリクエストを Firefox から web サーバに投げた結果、web サーバが "image/jpg" の Content-Type でスクリプトを返した場合でも、Firefox は本来のファイル形式を判別できるのでスクリプトが実行されます。この技術は俗に「MIME スニッフィング」と呼ばれて
[SECURITY] Buglists in CSV format can be parsed as valid javascript in some browsers [SECURITY] Buglists in CSV format can be parsed as valid javascript in some browsers
Participate: GitHub whatwg/fetch (new issue, open issues) Chat on Matrix Commits: GitHub whatwg/fetch/commits Snapshot as of this commit @fetchstandard Tests: web-platform-tests fetch/ (ongoing work) Translations (non-normative): 日本語 Abstract The Fetch standard defines requests, responses, and the process that binds them: fetching. Goals The goal is to unify fetching across the web platform and pr
Subject: Vulnerability Report: Cross-origin information leak via ECMAScript harmony proxies From: "websec02.g02" <websec02.g02@gmail.com> To: security@mozilla.org -----//----- Hello Mozilla security team, I'd like to submit a vulnerability report. If you have any questions, please email me. regards, ------------------------------------------------------------------ TYPES OF ISSUE: Cross-origin inf
Participate: GitHub whatwg/mimesniff (new issue, open issues) Chat on Matrix Commits: GitHub whatwg/mimesniff/commits Snapshot as of this commit @mimesniff Tests: web-platform-tests mimesniff/ (ongoing work) Translations (non-normative): 日本語 1. Introduction The HTTP Content-Type header field is intended to indicate the MIME type of an HTTP response. However, many HTTP servers supply a Content-Type
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く