X-Content-Type-Options: nosniff
-
- いいね!0
徳丸 浩
@ockeghem
@hasegawayosuke PDFに偽装したJavaScriptをダウンロードする時に、アプリケーション側がContent-Type: application/x-pdfと間違えていて、PATHINFOで/a.htmlをつけて呼び出すパターンです。
2011-01-05 23:28:42
Yosuke HASEGAWA
@hasegawayosuke
あるいは、HTMLを含む全コンテンツで(という記述はいらんけど) X-Content-Type-Options: nosniff をつけるように、で。
2011-01-06 09:21:46
徳永 広夢
@tokuhirom2
X-Content-Type-Options: nosniff は、ググっても、「よくわからんなあ」っていう記事ばっかりヒットするのだけれど、ちゃんとした解説記事はどこかしら
2011-01-06 09:36:08
Yosuke HASEGAWA
@hasegawayosuke
@tokuhirom http://bit.ly/eeXpES http://bit.ly/hiZ44Y くらいしかないですね。
2011-01-06 09:41:23
Atsushi Takayama
@edvakf
@tokuhirom @hasegawayosuke http://blogs.msdn.com/b/ie/archive/2010/10/26/mime-handling-changes-in-internet-explorer.aspx もありますよん。IE9 から挙動変更。
2011-01-06 10:04:32
徳永 広夢
@tokuhirom2
たぶん誰かが「X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに!」みたいな記事をかけば一気に普及する。
2011-01-06 10:08:04
Yosuke HASEGAWA
@hasegawayosuke
X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに!
2011-01-06 10:09:32
Yosuke HASEGAWA
@hasegawayosuke
ちなみに、IE9でクロスドメインでのConent-Type判定が厳しくなったせいで、一時 Google の画像検索とかでも不具合出てましたね。
2011-01-06 10:10:40
徳永 広夢
@tokuhirom2
RT @hasegawayosuke: X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに!
2011-01-06 10:12:25
徳永 広夢
@tokuhirom2
【拡散希望】 RT @tokuhirom: RT @hasegawayosuke: X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに!
2011-01-06 10:12:52
Yosuke HASEGAWA
@hasegawayosuke
記事書いたけど、やっつけ記事すぎる。 http://d.hatena.ne.jp/hasegawayosuke/20110106/p1
2011-01-06 10:33:08
Yosuke HASEGAWA
@hasegawayosuke
そもそも、Microsoft は IE がサポートする X-ふがふが レスポンスヘッダについてもう少しマジメに説明すべき。断片的な blog くらいしかまともな技術情報がないってどうよ。
2011-01-06 10:34:00
@kuusou_kyokusen
そもそもなぜIEがsniffし始めたか。昔のWebサーバは実際まともにContent-Type吐かないことがよくあって。つーか最近でもまだまだあるけど。
2011-01-06 10:45:00