• はてなブックマーク
  • テクノロジー
  • 機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
  • Twitterでシェア
  • Facebookでシェア

機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

テクノロジー カテゴリーの変更を依頼 記事元:hasegawa.hatenablog.com
適切な情報に変更
546 usersがブックマーク コメント58

    記事へのコメント58

    • 注目コメント
    • 新着コメント
    nemoba
    nemoba alert代わりに、$.ajax({"/api/logger", data:e.message} って書けば、何がやばいか分かりやすくなる

    2013/05/17 リンク

    その他
    eller
    eller CSRFトークン使いましょうという話では……?

    2013/05/18 リンク

    その他
    koyhoge
    koyhoge MSIE の都合でヘッダができたのかw

    2013/05/17 リンク

    その他
    x5gtrn
    x5gtrn 「リソースが機密情報を含む場合はもちろん、そうでない場合にも全てのリソースに対して X-Content-Type-Options: nosniff をつけるべきでしょう」

    2013/11/11 リンク

    その他
    typista
    typista 機密情報を含むJSONには X-Content-Type-Options : nosniff をつけるべき : 葉っぱ日記

    2013/08/19 リンク

    その他
    naga_sawa
    naga_sawa IE9,10では X-Content-Type-Options: nosniff レスポンスヘッダを付与すると <script> などで読み込まれる際にContent-Typeが厳密に扱われる

    2013/05/22 リンク

    その他
    shusatoo
    shusatoo 「全てのリソースに対して X-Content-Type-Options: nosniff をつけるべき」

    2013/05/22 リンク

    その他
    nnasaki
    nnasaki VBScript で JSON を読み込めてしまう。これ、CORS は超えられるんだろうか。

    2013/05/22 リンク

    その他
    efcl
    efcl VBScriptのエラーメッセージから情報取得できてしまう可能性。 X-Content-Type-Options: nosniff での防止策

    2013/05/20 リンク

    その他
    MinazukiBakera
    MinazukiBakera 「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」

    2013/05/20 リンク

    その他
    adsty
    adsty IEでの対策が不完全なため付けておいた方が良い。

    2013/05/19 リンク

    その他
    Untouchable
    Untouchable script要素のsrc属性で指定したURIのデータに他のscript要素でアクセスできてしまうのか

    2013/05/19 リンク

    その他
    Lhankor_Mhy
    Lhankor_Mhy なるほど、こんな手があったのか。

    2013/05/19 リンク

    その他
    ya--mada
    ya--mada この話は、まったくわかってないので、よんどく

    2013/05/19 リンク

    その他
    igrep
     igrep  CSRF token  

    security
    IE

    2013/05/18 リンク

    その他
    iR3
    iR3 ふむ

    2013/05/18 リンク

    その他
    oppara
    oppara 機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

    2013/05/18 リンク

    その他
    eller
    eller CSRFトークン使いましょうという話では……?

    2013/05/18 リンク

    その他
    tmatsuu
    tmatsuu 「JSONならnosniff付与」を毎日三唱しましょう

    2013/05/18 リンク

    その他
    miya2000
    miya2000 軽く試したところ「型が一致しません」が出るのは改行のないJSON配列(かつ中にJSON配列を含まない)で、JSONオブジェクトだと別のエラーになって中身は取得できませんでした。/「nosniff をつけるべき」という原則は同じ。

    2013/05/18 リンク

    その他
    y_yamaguchi
    y_yamaguchi via はてなブックマーク - y_yamaguchi のブックマーク http://b.hatena.ne.jp/y_yamaguchi/hotentry

    2013/05/18 リンク

    その他
    tockri
    tockri これすげーな。クロスドメインで読み込んだJSONをJavaScriptで受け取ることができちゃう技かあ。nosniffヘッダをつけとくと防げる、IE以外はそもそもvbscriptをサポートしてないから関係ない

    2013/05/17 リンク

    その他
    letsspeak
    letsspeak 機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記 (id:hasegawayosuke)

    2013/05/17 リンク

    その他
    tinsep19
    tinsep19 リソースが機密情報を含む場合はもちろん、そ うでない場合にも全てのリソースに対して X-Content-Type-Options: nosniff をつけるべき でしょう。

    2013/05/17 リンク

    その他
    sessan
    sessan へーへー

    2013/05/17 リンク

    その他
    yamadar
    yamadar ヘッダつけよう。

    2013/05/17 リンク

    その他
    isidai
    isidai 自ドメインからのXHRしか想定してないJSONやAPIエンドポイントなら、アプリ側でのX-Requested-With: XMLHttpRequest とか任意の確認ヘッダで対策するのもアリだね。 -

    2013/05/17 リンク

    その他
    habuakihiro
    habuakihiro メモっとく。

    2013/05/17 リンク

    その他
    dowhile
    dowhile IEが滅べば解決…ってわけにはいかないか

    2013/05/17 リンク

    その他
    ngyuki
    ngyuki すごい、vbscript として読ませてエラーメッセージから別サイトの機密情報にアクセス

    2013/05/17 リンク

    その他
    rna
    rna 「IE9、10が修正されておらず X-Content-Type-Options による保護が必要となる点については、Microsoft に問い合わせたところ仕様に基づく動作との回答を得ています」

    2013/05/17 リンク

    その他
    sakuragaoka
    sakuragaoka 何の冗談?とか思ったら大真面目な話だった。IEはうんこ。

    2013/05/17 リンク

    その他
    a2ikm
    a2ikm IEじゃなくても、たとえばChromeでHTMLなURLをsrcで要求したときにも発生する?

    2013/05/17 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記


     WebJSON - ...    

    ブックマークしたユーザー

    • SWIMATH22016/02/25 SWIMATH2
    • idk2015/09/19 idk
    • manaten2015/09/15 manaten
    • epy0n2015/09/15 epy0n
    • nari_ex2015/06/23 nari_ex
    • mut00tum2015/02/18 mut00tum
    • nicopn19892014/09/16 nicopn1989
    • repon2014/05/04 repon
    • ria_ringo2014/03/26 ria_ringo
    • kuxttoba2014/02/05 kuxttoba
    • x5gtrn2013/11/11 x5gtrn
    • kenjiro_n2013/09/24 kenjiro_n
    • typista2013/08/19 typista
    • ji_ku2013/07/05 ji_ku
    • bsoo2013/06/23 bsoo
    • KUMARI2013/06/22 KUMARI
    • SugarlessChoco2013/06/21 SugarlessChoco
    • comeonly2013/06/20 comeonly
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.