X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記
2011-01-06: IE8ということを追記 & ちょっと間違いを修正。あけましておめでとうございます。 年明け早々ですが、Internet Explorerの話題です。IEはご存じの通り、Content-Type だけでなくコンテンツの内容なども sniff することでファイルタイプを決定しているため、画像ファイルやテキストファイルをHTMLと判定してしまい、クロスサイトスクリプティングが発生することが昔からたびたび報告されていました*1。現在は幾分マシになったとはいえ、IEのファイルタイプの判定アルゴリズムは非常に難解であり、現在でも状況によってはWebサイト運営者のまったく意図していないかたちでのXSSが発生する可能性があったりします。そういうわけで、IEがコンテンツを sniff してHTML以外のものをHTML扱いしてしまうことを防ぐために、動的にコンテンツを生成している場合に
[無視できない]IEのContent-Type無視
[無視できない]IEのContent-Type無視:教科書に載らないWebアプリケーションセキュリティ(2)(1/2 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer(以下、IE)の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。
![[無視できない]IEのContent-Type無視](https://cdn-ak-scissors.b.st-hatena.com/image/square/f8699f6fec76c2d2b8f650af7a420b6f67f0ebfe/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0903%2F30%2Fwebapp0201.jpg)
MS、非IEブラウザにも対応のプレビューツール「Expression Web SuperPreview」発表
MS、非IEブラウザにも対応のプレビューツール「Expression Web SuperPreview」発表 米Microsoftは3月18日、Web開発者向けページプレビュー・デバッグツール「Expression Web SuperPreview」を発表した。同社のWebデザインツール「Expression Web」の次期バージョンに含まれる新機能で、Internet Explorer、Firefox、Safariなど、異なるWebブラウザでWebページがどう表示されるかを確認できる。 現在はIEのみに対応の「Expression Web SuperPreview for Internet Explorer」が公式ブログのリンクからダウンロードできる。 Internet Explorer(IE) 8をインストールしていれば、開発中のWebサイトがIE 6、IE 7、IE 8でそれぞれどの
窓の杜 - 【NEWS】MS、「Internet Explorer 8」日本語版を20日午前1時から公開
米Microsoft Corporationは18日(現地時間)、同社製Webブラウザーのメジャーバージョンアップ版となる「Internet Explorer 8」(以下、IE 8)の公開を、東部夏時間19日正午(日本時間20日午前1時)から開始すると発表した。同社のWebサイトから、日本語を含む25カ国語に対応したIE 8がダウンロード可能になる予定。 IE 8ではレンダリングエンジンが大幅に改良され、HTMLの解析やCSSの処理、JavaScriptの実行などさまざまな場面でパフォーマンスが向上したほか、Web標準技術との互換性も向上している。 加えて、使い勝手を高めるさまざまな機能を新規搭載している。アドレスバーでは履歴やお気に入りを検索可能になったほか、検索ボックスにはキーワードの一部を入力するだけで検索候補を表示できるサジェスト機能を追加。また、特定の条件により関連するタブを自動
【特集】CSS実装徹底検証! そこが知りたいInternet Explorer 7 (1) 01-01 Internet Explorer 7 beta2のCSS実装 (MYCOMジャーナル)
米Microsoftから2006年5月、Internet Explorer 7(IE7)beta2がリリースされた。IE7は2001年にInternet Explorer 6(IE6)がリリースされて以来、5年ぶりのアップデートとなる。このメジャーアップデートでは、CSSの標準規格への準拠やバグの修正、未対応だった機能への対応などが期待されている。 IE7 beta2では、CSS2.0のセレクタや「fixed」による固定位置表示、すべての要素に対する「:hover」の指定などに対応しつつ、XML宣言の記述によって発生していた問題が修正されるなど、要望の大きかった部分への対応・修正が行われている。 しかし、フロート(回り込み)関連や、プロパティを組み合わせたときに発生する細かなバグに関しては修正されていない部分も残っており、正式版リリースまでにどのぐらい修正されるかが注目される。 一方で、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
