はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ nosniff

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 4 / 4件)
 

JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意 | 徳丸浩の日記

2013/05/20 このエントリーをはてなブックマークに追加 236 users Instapaper Pocket Tweet Facebook Share Evernote Clip JSON VBScript 徳丸浩 JSONデータ 別ドメイン

2013年5月20日月曜日 JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意 はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」にて、巧妙な罠を仕掛けることにより、別ドメインのJSONデータをvbscriptとして読み込み、エラーハンドラ経由で機密情報を盗... 続きを読む

機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

2013/05/17 このエントリーをはてなブックマークに追加 557 users Instapaper Pocket Tweet Facebook Share Evernote Clip JSON X-Content-Type-Options

WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Ty... 続きを読む

swdyh - X-Content-Type-Options: nosniff の効果

2013/05/11 このエントリーをはてなブックマークに追加 41 users Instapaper Pocket Tweet Facebook Share Evernote Clip swdyh github.com Firefox Blog

Heads up: nosniff header support coming to Chrome and Firefox https://github.com/blog/1482-heads-up-nosniff-header-support-coming-to-chrome-and-firefox ChromeとFirefoxでnosniffってどういうことなんだろうと思って少し調べた。 IE... 続きを読む

X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記

2011/01/06 このエントリーをはてなブックマークに追加 526 users Instapaper Pocket Tweet Facebook Share Evernote Clip X-Content-Type-Options 葉っぱ日記

あけましておめでとうございます。年明け早々ですが、Internet Explorerの話題です。IEはご存じの通り、Content-Type だけでなくコンテンツの内容なども sniff することでファイルタイプを決定しているため、画像ファイルやテキストファイルをHTMLと判定してしまい、クロスサイトスクリプティングが発生することが昔からたびたび報告されていました*1。現在は幾分マシになったとはい... 続きを読む

 
(1 - 4 / 4件)