「コンテンツスニッフィング」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> 読み方 ;コンテンツスニッフィング:こんてんつ すにっふぃんぐ ;Content sniffing:こんてんつ すにっ...」) |
(相違点なし)
|
2013年4月27日 (土) 17:43時点における最新版
読み方
- コンテンツスニッフィング
- こんてんつ すにっふぃんぐ
- Content sniffing
- こんてんつ すにっふぃんぐ
概要
コンテンツスニッフィング は、メディアタイプスニッフィング(Media type sniffing)やMIMEスニッフィングとしても知られ、データからファイルフォーマットを推測するため、バイトストリームのコンテンツを調査することです。 コンテンツスニッフィングは、一般的に、ファイルを正しく解釈するために、正確なメタデータの不足を補うために使われます。ファイルのシグネチャやマジックナンバー、よく知られる代表的な部分列、byte frequencey や n-gram テーブル、ベイジアン推論、などを利用します。
IE6 など古いブラウザで、コンテンツスニッフィング によって、XSS を引き起こす問題がありました。
IE のメディアタイプの判定
- サーバが返す Content-Type ヘッダ
- コンテンツの内容
- 拡張子
- レジストリの設定
IE におけるXSS
IE6時代のInternet Explorerは、Content-Typeヘッダを無視して、コンテンツの内容からHTMLと判断し、コンテンツに含まれるJavaScriptを実行してしまう問題がありました。
- HTML データ(JavaScriptを含む)を含んだファイル foo.html を用意する
- 拡張子を gif にしてファイル名を foo.gif とする
- foo.gif を Webサーバで配信する
- IE6で foo.gif の URL で開く
- foo.gif に含まれる JavaScript が実行される