JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意 | 徳丸浩の日記

2013/05/20 236 users JSON VBScript 徳丸浩 JSONデータ 別ドメイン

2013年5月20日月曜日 JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意 はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」にて、巧妙な罠を仕掛けることにより、別ドメインのJSONデータをvbscriptとして読み込み、エラーハンドラ経由で機密情報を盗... 続きを読む

機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

2013/05/17 557 users JSON X-Content-Type-Options

WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Ty... 続きを読む

X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記

2011/01/06 526 users X-Content-Type-Options 葉っぱ日記

あけましておめでとうございます。年明け早々ですが、Internet Explorerの話題です。IEはご存じの通り、Content-Type だけでなくコンテンツの内容なども sniff することでファイルタイプを決定しているため、画像ファイルやテキストファイルをHTMLと判定してしまい、クロスサイトスクリプティングが発生することが昔からたびたび報告されていました*1。現在は幾分マシになったとはい... 続きを読む