1
我應該使用text/plain代替。或者說,當談到跨站點安全性時,text/json實際上會變得相同。內容類型text/json是否有安全隱患?
無論哪種方式,內容將是有效的JSON,我只是想確保我是正確的關於內容類型頭。
A
回答
1
沒有安全考慮因素影響請求答案的MIME類型的選擇。請注意,JSON的適當MIME類型是application/json。
1
是的,存在安全隱患。瀏覽器 - 特別是IE瀏覽器 - 往往會猜測內容類型。原因在於,一段時間以來,服務器將所有內容都作爲相同的內容類型提供,以便瀏覽器不得不猜測正確顯示內容。 文本/純文本內容嗅探(第二次猜測)是臭名昭着的。如果你的json在某些值中包含了html,那麼你有可能直接在瀏覽器中打開url,瀏覽器會判斷它的HTML並將其呈現。這可能會導致XSS。
+2
這是一個常見的神話,而且隨着神話的流逝,這是虛假的。 mime類型檢測的Microsoft參考是:http://msdn.microsoft.com/en-us/library/ms775147%28v=vs.85%29.aspx請注意,從該文檔:a)text/plain永遠不會在限制區域內呈現爲HTML;和b)未知的MIME類型從未被猜出。這是八年前推出的IE6SP2的行爲。 text/json被處理爲json或作爲未知類型處理。這是XSS安全。 – 2012-04-29 16:24:33
+1
我看到這個討論不時在論壇上出現。從2011年的隨機例子:http://www.highdots.com/forums/html/ie-ignores-text-plain-again-299596.html – Erlend 2012-04-30 10:00:33
+0
我建立了一個測試平臺,這表明至少IE9會處理text/plain在某些情況下爲HTML:http://erlend.oftedal.no/blog/research/json/testbench.html – Erlend 2013-03-12 19:34:52
相關問題
- 1. 安全隱患
- 2. 安全隱患
- 3. 這是一個安全隱患
- 4. 當涉及到JQuery插件時,您是否有任何安全隱患?
- 5. 隱式流程的安全隱患是什麼
- 6. GWT HTML控件的安全隱患
- 7. Request.ServerVariables(「REMOTE_ADDR」)與Request.ServerVariables(「HTTP_X_FORWARDED_FOR」)的安全隱患
- 8. 使用CKEditor的安全隱患
- 9. 用戶輸入Javascript安全隱患
- 10. Flex和Javascript的安全隱患
- 11. ASP.NET PostBack是否保持內容安全
- 12. 運行爲用戶「根」是一個安全隱患,中止
- 13. 通過Web服務暴露system.dll是否可能存在安全隱患?
- 14. 在圖像上呈現任意文本是否存在任何安全隱患?
- 15. 從HTTP到HTTPS發出CORS請求是否存在安全隱患?
- 16. 有限功能服務器的安全隱患
- 17. 捕獲網站的縮略圖沒有安全隱患
- 18. 記住我的cookies有安全隱患嗎? (Rails)
- 19. 拆箱標籤類型是否安全?
- 20. MySQL內存表是否存在二進制安全列類型?
- 21. phpMyAdmin是否內置安全
- 22. 將字符類型轉換爲整數類型是否安全
- 23. 修改STL容器的內容是否安全?
- 24. 什麼是類型安全?
- 25. 暴露給不可信用戶時,提琴手是不是安全隱患?
- 26. 是否有Choose()的類型安全版本?
- 27. 是否有任何安全隱患讓用戶添加到他們自己的nginx虛擬主機文件中?
- 28. 讓用戶呈現自己的SVG文件的安全隱患
- 29. 金字塔/ wsgi os.environ後門的安全隱患?
- 30. 手動添加WebResource.axd - 任何安全隱患?
正確的內容類型將是應用程序/ json – Musa 2012-04-27 19:02:17
@Musa,機智:http://stackoverflow.com/questions/477816/the-right-json-content-type爲什麼不張貼作爲答案? – msanford 2012-04-27 19:15:47