Каналы, созданные Google, содержат странный комментарий:
<!-- Content-type: Preventing XSRF in IE. -->
Например, вы можете увидеть его в верхней части этого канала. Кто-нибудь может объяснить цель этого комментария?
Кажется, Бенхойт на хакерских новостях задал и ответил на этот вопрос .
Я только что ужесточил наш предстоящий веб-сайт microPledge - http://micropledge.com -- предотвратить подделку межсайтовых запросов (CSRF).Я добавил случайный SHA в качестве ключа формы для каждой формы.Но!Затем я обнаружил эту прекрасную дыру в безопасности IE.Злоумышленник может использовать междоменный JavaScript и перенаправление mhtml: для захвата страницы, получения ключа формы и выполнения POST.Brilliant!Кто-нибудь имеет опыт обойти это?
...
IE анализирует первую часть документа MHTML как заголовки в стиле HTTP, так что если у вас естьHTML-комментарий в начале ваших страниц с «Content-Type: Something crazy», за которым следует пустая строка, которая исправляет это.
XSRF (иногда CSRF) - это подделка межсайтовых запросов: подробнее