argius note

プログラミング関連

Content-Type無視によるXSS

近頃、セキュリティ関連の勉強がおろそかになっていたところ、良い記事を見つけました。3年も前ですが。

  1. Content-Type=text/plain が無視され
  2. content-sniffing(種類を判断するためにファイルの中身を見る処理)し
  3. HTMLと判断され
  4. スクリプトが実行される(XSSが発動!)

ということが起きるんですね。
記事は3年前ですが、現在でも、IE8では実行できてしまいました。


他の記事も勉強になりました。
ニッチな問題とは言え、原理的には他のセキュリティ問題に通じているので、知っておいて損はないと思いますよ。