コンテンツスニッフィング

提供: セキュリティ
移動: 案内検索
スポンサーリンク


読み方

コンテンツスニッフィング
こんてんつ すにっふぃんぐ
Content sniffing
こんてんつ すにっふぃんぐ

概要

コンテンツスニッフィング は、メディアタイプスニッフィング(Media type sniffing)やMIMEスニッフィングとしても知られ、データからファイルフォーマットを推測するため、バイトストリームのコンテンツを調査することです。 コンテンツスニッフィングは、一般的に、ファイルを正しく解釈するために、正確なメタデータの不足を補うために使われます。ファイルのシグネチャやマジックナンバー、よく知られる代表的な部分列、byte frequencey や n-gram テーブル、ベイジアン推論、などを利用します。

IE6 など古いブラウザで、コンテンツスニッフィング によって、XSS を引き起こす問題がありました。

IE のメディアタイプの判定

  • サーバが返す Content-Type ヘッダ
  • コンテンツの内容
  • 拡張子
  • レジストリの設定

IE におけるXSS

IE6時代のInternet Explorerは、Content-Typeヘッダを無視して、コンテンツの内容からHTMLと判断し、コンテンツに含まれるJavaScriptを実行してしまう問題がありました。

  • HTML データ(JavaScriptを含む)を含んだファイル foo.html を用意する
  • 拡張子を gif にしてファイル名を foo.gif とする
  • foo.gif を Webサーバで配信する
  • IE6で foo.gif の URL で開く
    • foo.gif に含まれる JavaScript が実行される

関連項目




スポンサーリンク