首頁猿問 net/http：DetectCo...

net/http：DetectContentType 是否支持 JavaScript？

Go

茅侃侃 2022-10-24 16:05:38

DetectContentType，JavaScript 支持 ?https://github.com/golang/go/blob/c3931ab1b7bceddc56479d7ddbd7517d244bfe17/src/net/http/sniff.go#L21http Method DetectContentType背后是否有不支持JavaScript的真正原因？

查看完整描述

1 回答

臨摹微笑

TA貢獻(xiàn)1982條經(jīng)驗(yàn) 獲得超2個(gè)贊

正如文檔注釋所述，DetectContentType實(shí)現(xiàn)了https://mimesniff.spec.whatwg.org/中描述的算法，該算法不檢測 JavaScript。那么問題就變成了：為什么不呢？

答案在規(guī)范的介紹中給出：

當(dāng)“誠實(shí)”的服務(wù)器允許潛在的惡意用戶上傳他們自己的文件，然后使用低權(quán)限 MIME 類型提供這些文件的內(nèi)容時(shí)，這些安全問題最為嚴(yán)重。例如，如果服務(wù)器認(rèn)為客戶端會將貢獻(xiàn)的文件視為圖像（因此將其視為良性），但用戶代理認(rèn)為內(nèi)容是 HTML（因此有權(quán)執(zhí)行其中包含的任何腳本），則攻擊者可能能夠竊取用戶的身份驗(yàn)證憑據(jù)并發(fā)起其他跨站點(diǎn)腳本攻擊。（當(dāng)然，惡意服務(wù)器可以在 Content-Type 標(biāo)頭字段中指定任意 MIME 類型。）
本文檔描述了一種內(nèi)容嗅探算法，該算法仔細(xì)平衡了用戶代理的兼容性需求與現(xiàn)有 Web 內(nèi)容所施加的安全約束。

將不受信任的輸入標(biāo)記為 JavaScript（或者即使是?。┛赡軙?dǎo)致安全災(zāi)難。

反對回復(fù) 2022-10-24