Q&A
もう少し、具体例を。
前提・実現したいこと
ファイルのアップロード機能をもつアプリケーションにおいて
Content-Typeヘッダに「octet-stream」が設定されている場合、
アップロードするhtmlファイルにスクリプトタグを記載し、
ダウンロードした際にスクリプトを実行されることはありますか。
発生している問題・エラーメッセージ
エラーメッセージ
該当のソースコード
ソースコード
試したこと
ここに問題に対して試したことを記載してください。
補足情報(FW/ツールのバージョンなど)
ここにより詳細な情報を記載してください。
回答2件
0
Content-Type: application/octet-stream のみですと、IE(Windows10上のIE11も含む)では、下記のように<script>タグが有効になります。
PHP
1<?php 2 header('Content-Type: application/octet-stream'); 3 // header('X-Content-Type-Options: nosniff'); 4 // header('Content-Disposition: attachment; filename="hogehoge.bin"'); 5?><script>alert(1)</script>
これを避けるには、上記ソースコードでコメントアウトされているヘッダのうち最低どちらか一方を有効にすれば、ダウンロードの形になります。両方を有効にすることをお勧めします。
上記の内容は、下記の書籍にて説明されています。
投稿2021/02/05 14:24
総合スコア11705
0
ベストアンサー
意味不明の部分がありますが、使われているキーワードから推測すると、昔のIEの脆弱性みたいなことを心配しているのですかね?
レスポンスのContent=Typeがoctet-streamなら、ブラウザがその中に含まれるJavaScriptを実行することは無いです。
投稿2021/02/05 11:54
総合スコア85886
あなたの回答
tips
プレビュー
