誤った MIME タイプで配信された JavaScript はブロックされます | Firefox サイト互換性情報
Firefox 51 以降、image/*、audio/*、video/* あるいは text/csv といった誤った MIME タイプで配信された JavaScript ファイルはセキュリティ上の理由から読み込まれず、NetworkError が投げられます。HTML <script> 要素、new Worker()、new SharedWorker()、importScripts メソッドがすべて影響を受けます。あなたのスクリプトが text/javascript や application/javascript といった適切なタイプで配信されていることを確認してください。
【翻訳】Firefox における MIME Confusion Attack の防止 - Mozilla Security Blog 日本語版
この記事は、2016 年 8 月 26 日付で Mozilla Security Blog に投稿された Mitigating MIME Confusion Attacks in Firefox(筆者: Christoph Kerschbaumer)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。 web サーバが Content-Type を指定しなくとも、web ブラウザはファイルの内容をスキャンしてファイル形式を判別することができます。例えば、スクリプトを受信するリクエストを Firefox から web サーバに投げた結果、web サーバが "image/jpg" の Content-Type でスクリプトを返した場合でも、Firefox は本来のファイル形式を判別できるのでスクリプトが実行されます。この技術は俗に「MIME スニッフィング」と呼ばれて
How should browsers mitigate Proxy-related security issues? · Issue #272 · tc39/ecma262
There's a security issue on the web with ES2015 Proxies where a cross-origin request can be made to load some ECMAScript code, and this request can leak some information across origins due to the existence of Proxies. Details can be found here: https://code.google.com/p/chromium/issues/detail?id=399951 . The short story is that the Proxy can be put in the prototype chain of the global object, and
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
1299267 - Return a network error for requests whose type is "script" with additional bad MIME types
Block text/csv for requests whose type is "script"? · Issue #337 · whatwg/fetch
136452 – [Cocoa][Win] Enable of X-Content-Type-Options: nosniff header
Web Application Exploits and Defenses
https://www.mbsd.jp/Whitepaper/xssi.pdf
471020 - Add X-Content-Type-Options: nosniff support to Firefox
