Question

У меня есть веб-сервер, который возвращает контент на основе пользовательского ввода.Я хочу вернуть содержимое с Content-Type: text / text; , но я не уверен, насколько это безопасно.

Я провел тест с Content-Type: text / text;и браузер просто отображает контент (не интерпретирует его вообще), но, возможно, это способ обмануть его, я не эксперт по безопасности.

спасибо

silviud · Answer 1 · 17 октября 2018

Похоже, небезопасно доверять браузеру, интерпретирующему тип содержимого - дополнительную информацию можно найти здесь - https://security.stackexchange.com/questions/97241/does-a-content-type-text-plain-header-protect-against-xss-in-browsers?noredirect=1&lq=1

Насколько безопасна веб-страница, которая имеет тип mime текста и содержит _any_ пользовательский ввод

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Насколько безопасна веб-страница, которая имеет тип mime текста и содержит _any_ пользовательский ввод

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы