誤った MIME タイプで配信された JavaScript はブロックされます | Firefox サイト互換性情報
Firefox 51 以降、image/*、audio/*、video/* あるいは text/csv といった誤った MIME タイプで配信された JavaScript ファイルはセキュリティ上の理由から読み込まれず、NetworkError が投げられます。HTML <script> 要素、new Worker()、new SharedWorker()、importScripts メソッドがすべて影響を受けます。あなたのスクリプトが text/javascript や application/javascript といった適切なタイプで配信されていることを確認してください。
【翻訳】Firefox における MIME Confusion Attack の防止 - Mozilla Security Blog 日本語版
この記事は、2016 年 8 月 26 日付で Mozilla Security Blog に投稿された Mitigating MIME Confusion Attacks in Firefox(筆者: Christoph Kerschbaumer)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。 web サーバが Content-Type を指定しなくとも、web ブラウザはファイルの内容をスキャンしてファイル形式を判別することができます。例えば、スクリプトを受信するリクエストを Firefox から web サーバに投げた結果、web サーバが "image/jpg" の Content-Type でスクリプトを返した場合でも、Firefox は本来のファイル形式を判別できるのでスクリプトが実行されます。この技術は俗に「MIME スニッフィング」と呼ばれて
1232785 - (CVE-2015-8509) [SECURITY] Buglists in CSV format can be parsed as valid javascript in some browsers
[SECURITY] Buglists in CSV format can be parsed as valid javascript in some browsers [SECURITY] Buglists in CSV format can be parsed as valid javascript in some browsers
![1232785 - (CVE-2015-8509) [SECURITY] Buglists in CSV format can be parsed as valid javascript in some browsers](https://cdn-ak-scissors.b.st-hatena.com/image/square/94e68033a33a368f97324bf314b4b8b9099309f2/height=288;version=1;width=512/https%3A%2F%2Fbugzilla.mozilla.org%2Fextensions%2FOpenGraph%2Fweb%2Fmoz-social-bw-rgb-1200x1200.png)
Cross-Origin Resource Sharing Standard
Participate: GitHub whatwg/fetch (new issue, open issues) Chat on Matrix Commits: GitHub whatwg/fetch/commits Snapshot as of this commit @fetchstandard Tests: web-platform-tests fetch/ (ongoing work) Translations (non-normative): 日本語 Abstract The Fetch standard defines requests, responses, and the process that binds them: fetching. Goals The goal is to unify fetching across the web platform and pr
1048535 - Cross-origin info leak: [[get]] calls on global expose text (or CSV) sniffed as JS
Subject: Vulnerability Report: Cross-origin information leak via ECMAScript harmony proxies From: "websec02.g02" <websec02.g02@gmail.com> To: security@mozilla.org -----//----- Hello Mozilla security team, I'd like to submit a vulnerability report. If you have any questions, please email me. regards, ------------------------------------------------------------------ TYPES OF ISSUE: Cross-origin inf
MIME Sniffing Standard
Participate: GitHub whatwg/mimesniff (new issue, open issues) Chat on Matrix Commits: GitHub whatwg/mimesniff/commits Snapshot as of this commit @mimesniff Tests: web-platform-tests mimesniff/ (ongoing work) Translations (non-normative): 日本語 1. Introduction The HTTP Content-Type header field is intended to indicate the MIME type of an HTTP response. However, many HTTP servers supply a Content-Type
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
X-Content-Type-Options - HTTP | MDN
1302539 - X-Content-Type-Options: nosniff breaks this page in Firefox but not in Chrome
Block text/csv for requests whose type is "script"? · Issue #337 · whatwg/fetch
Remove X-Content-Type-Options as it's defined by Fetch · whatwg/mimesniff@64bfe02
X-Content-Type-Options: nosniff from Anne van Kesteren on 2015-04-02 (public-webappsec@w3.org from April 2015)
Standardize "nosniff" · Issue #35 · whatwg/fetch
136452 – [Cocoa][Win] Enable of X-Content-Type-Options: nosniff header