IE的MIME嗅探

最新推荐文章于 2025-06-05 18:22:22 发布
原创 最新推荐文章于 2025-06-05 18:22:22 发布 · 2.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ie #浏览器 #html #web

IE从SP2开始增加了MIME嗅探功能,不仅依据Content-Type判断内容类型,还会根据Response流内容判断。若Content-Type设为text/plain,但内容为HTML格式,则IE可能误判并执行HTML代码。为避免安全风险,可通过设置Content-Disposition头,指定文件名来强制浏览器下载文件而非解析。
    IE从SP2开始进行了MIME嗅探的功能。以前的浏览器都是通过Content-Type来判断Resoponse流是何种类型的内容,进而调用不用的处理程序进行处理,如text/html表明接受的html代码,需要做html页面渲染,text/jpeg表明接受的图片文件,需要对接受到的数据流调用处理jpeg格式流的处理程序。
    IE则在此基础上增加了对MIME的嗅探功能,不仅仅根据Content-Type来判断,而且会根据Response流的内容来进行判断。加入Content-Type的值是text/plain,在非IE浏览器中,text/plain表明的是普通的文本,浏览器只需要把内容展示出来就可以了。但是在IE中,如果Response的内容是类似如下的内容:
  1. <html>
  2. <script>
  3. alert(/xss/);
  4. </script>
  5. </html>
    则IE执行MIME嗅探后,会判定其内容是text/html类型,此时就会执行html的渲染逻辑,在浏览器中弹出/xss对话框。
    IE的此特性可以得出,在Web程序中,返回的Response一定要具有正确的Content-Type值,避免IE的“聪明”。

    问题是:如果我们的确需要给用户提供一个普通的文件进行下载,该文件的内容含有如上格式的html相关字符,此时Content-Type的值是需要设置成text/plain(因为这个文件的确是plain的),该怎么办呢?
    解决方式是:使用Content-disposition.
    Content-disposition格式:
         "content-disposition","attachment; filename=fname.ext"
    在filename=的后面写上文件名(如foo.txt),此时浏览器会直接弹出对话框提示用户是否保存此文件。
barfoo
关注
Fiddler 详细教程【原理、界面介绍、浏览器和移动端抓包详解】
Nick.Peng's Blogs
10-09 1420
文章目录一. 简介:二. 工作原理:三. HTTP协议简介:3.1 什么是HTTP协议3.2 URL详解3.3 HTTP消息的结构3.4 状态码四. 界面操作:4.1 主界面4.2 工具面板4.3 会话面板4.4 监控面板4.5 状态面板五. 常用功能:5.1 监听HTTPS5.2 HOST切换5.2 模拟各类场景5.3 Compare(对比文本)5.4 Composer(构造器)5.5 Filt...
mime-sniffer:一个 mime 类型的嗅探器,不仅可以检查扩展
07-01
哑剧嗅探器 从二进制文件中获取 mime 类型的小工具。 与不同, mime-sniffer 使用而不是文件扩展名来为给定文件获得更准确(并且更不容易伪造)的 mime 类型。 安装 npm install mime-sniffer --save 用法 var mime = require ( 'mime-sniffer' ) ; mime . lookup ( '/path/to/file.jpg' , function ( err , info ) { console . log ( info ) ; // { mime: 'image/jpeg', extension: 'jpg' } } ) ; 您还可以传入一个缓冲区: var fs = require ( 'fs' ) ; var mime = require ( 'mime-sniffer' ) ; mime .
[MIME] Content-Type 、IEMIME和 注册表的那些事 (text/plain 文件 下载)
三个石头的专栏
03-09 4299
最近碰到了一个很郁闷的问题,大致情况如下: 手边有一个J2EE的应用,里面有一个action 设置响应报头 Content-Type 为 text/plain;charset=** ,结果导致一部分客户机子访问此url出现后台运行正常,但是页面上出现下载。比如我们访问的是 http://localhost/test/a.jspa , 结果出现了一个下载框提示下载a.jspa文件且此文件
IE嗅探
01-28
开发人员常用IE 插件,用途很多。
IE8.9影音嗅探插件
05-29
IE8.9影音嗅探插件
基于IEMIME sniffing功能的跨站点脚本攻击
siriva的博客
03-20 496
IE有一个特性,那就是在将一个文件展示给用户之前会首先检查文件的类型,这乍看起来并没什么问题,但实际上这是相当危险的,因为这会允许IE执行图片中的代码,即嵌入在一个图像中的JavaScript代码。引入MIME sniffing功能的初衷是用来弥补Web服务器响应一个图像请求时有可能返回错误的内容类型信息这一缺陷。 但是事不遂人愿,心怀不轨的人可以轻易滥用这一特性,如通过精心制作一个图像文件,并在...
jQery源码分析14: IE嗅探的另类方法——也许也是屎上最简单的方法
WEBCODE
04-01 115
// Check if a string has a non-whitespace character in it var rnotwhite = /\S/;// IE doesn't match non-breaking spaces with \s if ( rnotwhite.test( "\xA0" ) ) { alert('i am IE'); } else { ale...
mime嗅探的默认行为及Markdown文件响应格式
pulledup的博客
06-05 1084
摘要: MIME嗅探浏览器在未明确响应内容类型时自动识别资源格式的行为,涉及复杂的内容类型解析机制。文章分析了MIME嗅探原理及常见问题,如错误声明text类型导致浏览器误判为HTML引发安全风险。重点讨论了Markdown文件(text/markdown)与HTML(text/html)的本质差异,指出MIME嗅探可能导致的XSS注入风险,并给出防护方案:正确设置Content-Type响应头、添加nosniff指令阻止嗅探,以及客户端校验文件完整性。通过规范MIME类型声明和主动防御措施,可以有效降低
实验环境:centos7虚拟机环境 我有4个html文件,文件中可能包含图片等内容 About.html Contact.html Index.html Work.html 请使用epoll,I/O复用的方式实现一个简单的web server(端口80),使得我能够在浏览器实现对各个html网页的访问。 浏览器兼容要求:Firefox,chrome、ie8+ Web server需完成get post等基础请求处理(必修) 使用makefile构建(必修)
最新发布
08-09
"X-Content-Type-Options: nosniff\r\n\r\n", // 防止IE MIME嗅探 status, status_msg, content_type, strlen(body)); write(fd, header, strlen(header)); write(fd, body, strlen(body)); } ``` ### 二、...
async onDownloadStart () { console.log('开始下载...') this.$message.info('开始下载文件') try { const res = await userexport([]) // 打印 res 查看实际的 Blob 数据 console.log(res) const filename = '用户信息.xlsx' // const contentType = res.headers?.['content-type'] || 'application/octet-stream' const contentType = res.type const blob = new Blob([res], { type: contentType }) const url = window.URL.createObjectURL(blob) const dom = document.createElement('a') dom.style.display = 'none' dom.href = url dom.setAttribute('download', filename) document.body.appendChild(dom) dom.click() document.body.removeChild(dom) window.URL.revokeObjectURL(url) console.log('下载成功:', res) this.$message.success('文件下载成功') } catch (error) { console.error('下载失败:', error) this.$message.error('下载失败,请稍后重试') } }, 这是前台对于导出excel的设置 response.setContentType("application/vnd.openxmlformats-officedocument.spreadsheetml.sheet"); response.setCharacterEncoding("UTF-8"); // 使用 URLEncoder 对文件名进行编码,确保兼容性 String encodedFileName = URLEncoder.encode(fileName, "UTF-8").replaceAll("\\+", "%20"); response.addHeader("Content-Disposition", "attachment; filename*=UTF-8''" + encodedFileName + ".xls"); response.setHeader("Content-Disposition", "attachment; filename=\"report.xls\""); // 强制下载,文件名带扩展名 response.setHeader("X-Content-Type-Options", "nosniff"); // 防止 MIME 嗅探 // 或者兼容旧浏览器(同时提供 filename 和 filename*) // response.addHeader("Content-Disposition", "attachment; filename=\"" + fileName + ".xlsx\"; filename*=UTF-8''" + encodedFileName + ".xlsx"); ServletOutputStream out = response.getOutputStream(); book.write(out); out.flush(); out.close();这是java后台对于导出excel的设置,为什么能够出现在谷歌浏览器导出的excel文件未受保护,火狐浏览器导出的excel文件受保护,我不像文件受保护需要怎么配置,是配置前台还是配置后台
07-23
此外,设置`X-Content-Type-Options: nosniff`可以防止浏览器MIME类型嗅探。 - 另外,一个重要的头是`Content-Type`,确保设置为正确的MIME类型,例如Excel文件的MIME类型为`application/vnd.ms-excel`(对于.xls)...
仅允许上传jpg和png格式的图片,windows如何上传xss的代码绕过
03-16
浏览器触发MIME嗅探漏洞(如IE/Edge自动解析文件内容),则可执行XSS攻击[^2]。 2. **Windows系统特性** Windows对文件名大小写不敏感(如`test.jpg`与`TEST.JPG`视为相同),且部分服务器可能忽略扩展名中的...
Accept application/json, text/plain, */* Accept-Encoding gzip, deflate, br, zstd Accept-Language zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Authorization eyJjdHkiOiJIUzI1NiIsInR5cCI6IkpXVCIsImFsZyI6IkhTMjU2In0.eyJwZXJtaXNzaW9ucyI6Ilt7XCJhdXRob3JpdHlcIjpcInJlY2hhcmdlXCJ9LHtcImF1dGhvcml0eVwiOlwiYWZmYWlyc1wifSx7XCJhdXRob3JpdHlcIjpcInN5c3RlbVwifSx7XCJhdXRob3JpdHlcIjpcImNvcHktbWV0ZXJcIn0se1wiYXV0aG9yaXR5XCI6XCJyZXBvcnRcIn0se1wiYXV0aG9yaXR5XCI6XCJhbmFseXNpc1wifSx7XCJhdXRob3JpdHlcIjpcIm1haW50ZW5hbmNlXCJ9LHtcImF1dGhvcml0eVwiOlwiYXBwbGljYXRpb25cIn0se1wiYXV0aG9yaXR5XCI6XCJsb2dcIn0se1wiYXV0aG9yaXR5XCI6XCJvdGhlclwifSx7XCJhdXRob3JpdHlcIjpcImRhc2hib2FyZFwifSx7XCJhdXRob3JpdHlcIjpcImN1c3RvbWVyXCJ9LHtcImF1dGhvcml0eVwiOlwiUk9MRV9BRE1JTlwifV0iLCJpZCI6MSwiZXhwIjozNjQ2NTQxMjk2LCJ1c2VybmFtZSI6ImFkbWluIn0.o1W0LnqKQ6HBe3Tm_xc4dQXmOhF7Ho9KYiZ3dJN9n6c Connection keep-alive Content-Length 2 Content-Type application/json Cookie JSESSIONID=3YA5rtveexBSXoYFglr4j2HNdDXFNHkf0zJrBlB6 Host localhost:8080 Origin http://localhost:8080 Priority u=0 Referer http://localhost:8080/customer Sec-Fetch-Dest empty Sec-Fetch-Mode cors Sec-Fetch-Site same-origin User-Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:139.0) Gecko/20100101 Firefox/139.0 这是火狐浏览器导出文件的请求头 application/json, text/plain, */* accept-encoding gzip, deflate, br, zstd accept-language zh-CN,zh;q=0.9 authorization eyJjdHkiOiJIUzI1NiIsInR5cCI6IkpXVCIsImFsZyI6IkhTMjU2In0.eyJwZXJtaXNzaW9ucyI6Ilt7XCJhdXRob3JpdHlcIjpcImN1c3RvbWVyXCJ9LHtcImF1dGhvcml0eVwiOlwicmVjaGFyZ2VcIn0se1wiYXV0aG9yaXR5XCI6XCJhZmZhaXJzXCJ9LHtcImF1dGhvcml0eVwiOlwic3lzdGVtXCJ9LHtcImF1dGhvcml0eVwiOlwiY29weS1tZXRlclwifSx7XCJhdXRob3JpdHlcIjpcInJlcG9ydFwifSx7XCJhdXRob3JpdHlcIjpcImFuYWx5c2lzXCJ9LHtcImF1dGhvcml0eVwiOlwibWFpbnRlbmFuY2VcIn0se1wiYXV0aG9yaXR5XCI6XCJhcHBsaWNhdGlvblwifSx7XCJhdXRob3JpdHlcIjpcImxvZ1wifSx7XCJhdXRob3JpdHlcIjpcIm90aGVyXCJ9LHtcImF1dGhvcml0eVwiOlwiZGFzaGJvYXJkXCJ9LHtcImF1dGhvcml0eVwiOlwiUk9MRV9BRE1JTlwifV0iLCJpZCI6MSwiZXhwIjozNjQ2MTA3MDk0LCJ1c2VybmFtZSI6ImFkbWluIn0.aIIIU1blfIHTbCM9mVY8_6Aj27IiwieOyHDK1IflJSo cache-control no-cache connection keep-alive content-length 2 content-type application/json cookie JSESSIONID=GjCp6r_LYcQVO201PsIOuppOMQ3xoAqeSdYrCTvJ; Webstorm-be5713b8=c4fd27ab-3f56-4132-9bd3-601434e5118c host localhost:8080 origin http://localhost:8080 pragma no-cache referer http://localhost:8080/customer sec-ch-ua "Google Chrome";v="137", "Chromium";v="137", "Not/A)Brand";v="24" sec-ch-ua-mobile ?0 sec-ch-ua-platform "Windows" sec-fetch-dest empty sec-fetch-mode cors sec-fetch-site same-origin user-agent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/137.0.0.0 Safari/537.36这是谷歌浏览器导出文件的请求头 还是火狐浏览器导出的excel文件就有文件保护,谷歌浏览器导出的excel文件就没有
07-22
添加`X-Content-Type-Options: nosniff`头,防止浏览器进行MIME嗅探。 4. 确保文件名使用双引号包裹,避免文件名中的空格或特殊字符导致解析问题。 调整后的代码示例(基于用户提供的原始代码): ```java // ...
第五章:浏览器嗅探和特征侦测
weixin_34085658的博客
06-19 212
浏览器嗅探现在已经不推荐了,但在某些场合还是需要的。比如一些统计脚本。在标准浏览器里,提供了document.implementation.hasfeature,可惜有bug,不准确,目前,w3c又推出了CSS.supports方法,显示出大家对这块的关注。 1.判定浏览器。 主流的浏览器ie firefox opera chorme safari 早期这些框架都是通过navigator....
浏览器嗅探
weixin_33739646的博客
03-23 725
2019独角兽企业重金招聘Python工程师标准>>> ...
js嗅探ie浏览器版本(也可以嗅探浏览器品牌)
weixin_33721344的博客
09-06 263
2019独角兽企业重金招聘Python工程师标准>>> ...
MIME
m0_50219079的博客
07-11 193
MIME类型语法通用结构独立类型常见独立类型Multipart 类型(联系 HTML Forms 和 POST 方法)重要的MIME类型application/octet-streamtext/plaintext/csstext/htmltext/javascriptmultipart/form-datamultipart/byteranges设置正确的MIME类型的重要性MIME 嗅探 说明:此文档只是学习笔记 语法 通用结构 type/subtype 由类型与子类型,俩个字符串组成 __type__表
X-Content-Type-Options 详解:如何防止 MIME 类型嗅探攻击
记录学习的过程
02-21 680
X-Content-Type-Options: nosniff 是一个简单但有效的安全措施,能够防止浏览器对响应内容进行 MIME 类型嗅探,从而减少安全风险。X-Content-Type-Options 通过设置 nosniff 指令,告诉浏览器不要对响应内容进行 MIME 类型嗅探,必须严格按照服务器返回的 Content-Type 头处理内容。MIME 类型嗅探浏览器的一种行为,当服务器未明确指定响应内容的 MIME 类型时,浏览器会尝试根据内容推断其类型。
MIME是什么?举个例子就够了
天程十八的博客
09-17 1387
MI是媒体,ME是类型,总的大致意思是媒体类型; MIME的具体化就是Content-Type 下面举个MIME的例子: Content-Type: text/html;charset:utf-8; text表示主类型; html表示次类型; charset表示参数; utf-8表示参数的值; 因此,Conten-Type存在一个固定的格式:type/subtype;parameter:ty...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值