タグ X-Content-Type-Options
人気順 10 users 50 users 100 users 500 users 1000 usersJSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意 | 徳丸浩の日記
2013/05/20
236 users
JSON
nosniff
VBScript
徳丸浩
別ドメイン
2013年5月20日月曜日 JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意 はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」にて、巧妙な罠を仕掛けることにより、別ドメインのJSONデータをvbscriptとして読み込み、エラーハンドラ経由で機密情報を盗... 続きを読む
機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
2013/05/17
557 users
nosniff
JSON
JSON内
やり取り
サーバ間
WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Ty... 続きを読む
swdyh - X-Content-Type-Options: nosniff の効果
2013/05/11
41 users
swdyh
nosniff
github.com
Blog
Heads up: nosniff header support coming to Chrome and Firefox https://github.com/blog/1482-heads-up-nosniff-header-support-coming-to-chrome-and-firefox ChromeとFirefoxでnosniffってどういうことなんだろうと思って少し調べた。 IE... 続きを読む
X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記
2011/01/06
526 users
nosniff
葉っぱ日記
ヤツ
あけましておめでとうございます。年明け早々ですが、Internet Explorerの話題です。IEはご存じの通り、Content-Type だけでなくコンテンツの内容なども sniff することでファイルタイプを決定しているため、画像ファイルやテキストファイルをHTMLと判定してしまい、クロスサイトスクリプティングが発生することが昔からたびたび報告されていました*1。現在は幾分マシになったとはい... 続きを読む