BitArts Blog

ロードバイク通勤のRubyプログラマで伊豆ダイバー。の個人的なブログ。

IE7のセキュリティその2:Content-Type無視

https://bitarts.jp/tech/etc/msie_mimetypes.htmlです。つまりIEではContent-Typeヘッダを無視して、コンテント自体を実際に読んで識別しているという件。text/plainだろうとimage/jpegだろうと何だろうと、HTMLタグっぽい文字列が入っているとHTMLとしてレンダリングしてしまうのです。 IE7でも相変わらず…。 これはサイトによっては挙動が変わってしまう可能性があるので簡単には直せないのかもしれないけど、明らかにおかしいので早く直してほしい。 これの何が問題かと言うと、ひとつは、Content-Type: text/plainのつもりで入力パラメータをオウム返しに表示していると、簡単にクロスサイトスクリプティングが成立してしまうということです。 例えばApacheに付属しているtest-cgiとかね。このプログラムは何も悪くないのに、IEのせいでセキュリティホールになってしまうのです。