コンテンツスニッフィング
提供: セキュリティ
スポンサーリンク
読み方
- コンテンツスニッフィング
- こんてんつ すにっふぃんぐ
- Content sniffing
- こんてんつ すにっふぃんぐ
概要
コンテンツスニッフィング は、メディアタイプスニッフィング(Media type sniffing)やMIMEスニッフィングとしても知られ、データからファイルフォーマットを推測するため、バイトストリームのコンテンツを調査することです。 コンテンツスニッフィングは、一般的に、ファイルを正しく解釈するために、正確なメタデータの不足を補うために使われます。ファイルのシグネチャやマジックナンバー、よく知られる代表的な部分列、byte frequencey や n-gram テーブル、ベイジアン推論、などを利用します。
IE6 など古いブラウザで、コンテンツスニッフィング によって、XSS を引き起こす問題がありました。
IE のメディアタイプの判定
- サーバが返す Content-Type ヘッダ
- コンテンツの内容
- 拡張子
- レジストリの設定
IE におけるXSS
IE6時代のInternet Explorerは、Content-Typeヘッダを無視して、コンテンツの内容からHTMLと判断し、コンテンツに含まれるJavaScriptを実行してしまう問題がありました。
- HTML データ(JavaScriptを含む)を含んだファイル foo.html を用意する
- 拡張子を gif にしてファイル名を foo.gif とする
- foo.gif を Webサーバで配信する
- IE6で foo.gif の URL で開く
- foo.gif に含まれる JavaScript が実行される
関連項目
ツイート
スポンサーリンク