IE的MIME嗅探

最新推荐文章于 2025-06-05 18:22:22 发布
原创 最新推荐文章于 2025-06-05 18:22:22 发布 · 2.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ie #浏览器 #html #web

IE从SP2开始增加了MIME嗅探功能,不仅依据Content-Type判断内容类型,还会根据Response流内容判断。若Content-Type设为text/plain,但内容为HTML格式,则IE可能误判并执行HTML代码。为避免安全风险,可通过设置Content-Disposition头,指定文件名来强制浏览器下载文件而非解析。
    IE从SP2开始进行了MIME嗅探的功能。以前的浏览器都是通过Content-Type来判断Resoponse流是何种类型的内容,进而调用不用的处理程序进行处理,如text/html表明接受的html代码,需要做html页面渲染,text/jpeg表明接受的图片文件,需要对接受到的数据流调用处理jpeg格式流的处理程序。
    IE则在此基础上增加了对MIME的嗅探功能,不仅仅根据Content-Type来判断,而且会根据Response流的内容来进行判断。加入Content-Type的值是text/plain,在非IE浏览器中,text/plain表明的是普通的文本,浏览器只需要把内容展示出来就可以了。但是在IE中,如果Response的内容是类似如下的内容:
  1. <html>
  2. <script>
  3. alert(/xss/);
  4. </script>
  5. </html>
    则IE执行MIME嗅探后,会判定其内容是text/html类型,此时就会执行html的渲染逻辑,在浏览器中弹出/xss对话框。
    IE的此特性可以得出,在Web程序中,返回的Response一定要具有正确的Content-Type值,避免IE的“聪明”。

    问题是:如果我们的确需要给用户提供一个普通的文件进行下载,该文件的内容含有如上格式的html相关字符,此时Content-Type的值是需要设置成text/plain(因为这个文件的确是plain的),该怎么办呢?
    解决方式是:使用Content-disposition.
    Content-disposition格式:
         "content-disposition","attachment; filename=fname.ext"
    在filename=的后面写上文件名(如foo.txt),此时浏览器会直接弹出对话框提示用户是否保存此文件。
barfoo
关注
40、网络嗅探与入侵防御全解析
zz67890的博客
09-25 23
本文深入解析了网络嗅探与入侵防御的核心技术,涵盖代理服务器投毒、DNS缓存投毒等攻击方式及其防范措施。详细介绍了嗅探器的检测方法,如ping请求、ARP和DNS检测,并系统梳理了加密、静态IP设置、安全协议等应对策略。文章进一步分析了NIDS、HIDS和IPS的工作机制及黑客绕过手段,提出多层面防御体系构建、安全策略更新和员工培训等综合防护建议,助力组织全面提升网络安全防护能力。
mime-sniffer:一个 mime 类型的嗅探器,不仅可以检查扩展
07-01
哑剧嗅探器 从二进制文件中获取 mime 类型的小工具。 与不同, mime-sniffer 使用而不是文件扩展名来为给定文件获得更准确(并且更不容易伪造)的 mime 类型。 安装 npm install mime-sniffer --save 用法 var mime = require ( 'mime-sniffer' ) ; mime . lookup ( '/path/to/file.jpg' , function ( err , info ) { console . log ( info ) ; // { mime: 'image/jpeg', extension: 'jpg' } } ) ; 您还可以传入一个缓冲区: var fs = require ( 'fs' ) ; var mime = require ( 'mime-sniffer' ) ; mime .
IE嗅探
01-28
开发人员常用IE 插件,用途很多。
IE8.9影音嗅探插件
05-29
IE8.9影音嗅探插件
基于IEMIME sniffing功能的跨站点脚本攻击
siriva的博客
03-20 525
IE有一个特性,那就是在将一个文件展示给用户之前会首先检查文件的类型,这乍看起来并没什么问题,但实际上这是相当危险的,因为这会允许IE执行图片中的代码,即嵌入在一个图像中的JavaScript代码。引入MIME sniffing功能的初衷是用来弥补Web服务器响应一个图像请求时有可能返回错误的内容类型信息这一缺陷。 但是事不遂人愿,心怀不轨的人可以轻易滥用这一特性,如通过精心制作一个图像文件,并在...
jQery源码分析14: IE嗅探的另类方法——也许也是屎上最简单的方法
WEBCODE
04-01 119
// Check if a string has a non-whitespace character in it var rnotwhite = /\S/;// IE doesn't match non-breaking spaces with \s if ( rnotwhite.test( "\xA0" ) ) { alert('i am IE'); } else { ale...
实验环境:centos7虚拟机环境 我有4个html文件,文件中可能包含图片等内容 About.html Contact.html Index.html Work.html 请使用epoll,I/O复用的方式实现一个简单的web server(端口80),使得我能够在浏览器实现对各个html网页的访问。 浏览器兼容要求:Firefox,chrome、ie8+ Web server需完成get post等基础请求处理(必修) 使用makefile构建(必修)
最新发布
08-09
"X-Content-Type-Options: nosniff\r\n\r\n", // 防止IE MIME嗅探 status, status_msg, content_type, strlen(body)); write(fd, header, strlen(header)); write(fd, body, strlen(body)); } ``` ### 二、...
兼容Firefox和IE7的本地图片预览实现
浏览器兼容”是该项目最大的技术挑战,要求开发者深入理解各浏览器的差异,合理运用特性检测(feature detection)而非用户代理嗅探(user agent sniffing)来编写健壮代码;“JavaScript”则是实现所有交互逻辑的...
async onDownloadStart () { console.log('开始下载...') this.$message.info('开始下载文件') try { const res = await userexport([]) // 打印 res 查看实际的 Blob 数据 console.log(res) const filename = '用户信息.xlsx' // const contentType = res.headers?.['content-type'] || 'application/octet-stream' const contentType = res.type const blob = new Blob([res], { type: contentType }) const url = window.URL.createObjectURL(blob) const dom = document.createElement('a') dom.style.display = 'none' dom.href = url dom.setAttribute('download', filename) document.body.appendChild(dom) dom.click() document.body.removeChild(dom) window.URL.revokeObjectURL(url) console.log('下载成功:', res) this.$message.success('文件下载成功') } catch (error) { console.error('下载失败:', error) this.$message.error('下载失败,请稍后重试') } }, 这是前台对于导出excel的设置 response.setContentType("application/vnd.openxmlformats-officedocument.spreadsheetml.sheet"); response.setCharacterEncoding("UTF-8"); // 使用 URLEncoder 对文件名进行编码,确保兼容性 String encodedFileName = URLEncoder.encode(fileName, "UTF-8").replaceAll("\\+", "%20"); response.addHeader("Content-Disposition", "attachment; filename*=UTF-8''" + encodedFileName + ".xls"); response.setHeader("Content-Disposition", "attachment; filename=\"report.xls\""); // 强制下载,文件名带扩展名 response.setHeader("X-Content-Type-Options", "nosniff"); // 防止 MIME 嗅探 // 或者兼容旧浏览器(同时提供 filename 和 filename*) // response.addHeader("Content-Disposition", "attachment; filename=\"" + fileName + ".xlsx\"; filename*=UTF-8''" + encodedFileName + ".xlsx"); ServletOutputStream out = response.getOutputStream(); book.write(out); out.flush(); out.close();这是java后台对于导出excel的设置,为什么能够出现在谷歌浏览器导出的excel文件未受保护,火狐浏览器导出的excel文件受保护,我不像文件受保护需要怎么配置,是配置前台还是配置后台
07-23
此外,设置`X-Content-Type-Options: nosniff`可以防止浏览器MIME类型嗅探。 - 另外,一个重要的头是`Content-Type`,确保设置为正确的MIME类型,例如Excel文件的MIME类型为`application/vnd.ms-excel`(对于.xls)...
仅允许上传jpg和png格式的图片,windows如何上传xss的代码绕过
03-16
浏览器触发MIME嗅探漏洞(如IE/Edge自动解析文件内容),则可执行XSS攻击[^2]。 2. **Windows系统特性** Windows对文件名大小写不敏感(如`test.jpg`与`TEST.JPG`视为相同),且部分服务器可能忽略扩展名中的...
mime嗅探的默认行为及Markdown文件响应格式
pulledup的博客
06-05 1217
摘要: MIME嗅探浏览器在未明确响应内容类型时自动识别资源格式的行为,涉及复杂的内容类型解析机制。文章分析了MIME嗅探原理及常见问题,如错误声明text类型导致浏览器误判为HTML引发安全风险。重点讨论了Markdown文件(text/markdown)与HTML(text/html)的本质差异,指出MIME嗅探可能导致的XSS注入风险,并给出防护方案:正确设置Content-Type响应头、添加nosniff指令阻止嗅探,以及客户端校验文件完整性。通过规范MIME类型声明和主动防御措施,可以有效降低
第五章:浏览器嗅探和特征侦测
weixin_34085658的博客
06-19 226
浏览器嗅探现在已经不推荐了,但在某些场合还是需要的。比如一些统计脚本。在标准浏览器里,提供了document.implementation.hasfeature,可惜有bug,不准确,目前,w3c又推出了CSS.supports方法,显示出大家对这块的关注。 1.判定浏览器。 主流的浏览器ie firefox opera chorme safari 早期这些框架都是通过navigator....
浏览器嗅探
weixin_33739646的博客
03-23 729
2019独角兽企业重金招聘Python工程师标准>>> ...
js嗅探ie浏览器版本(也可以嗅探浏览器品牌)
weixin_33721344的博客
09-06 267
2019独角兽企业重金招聘Python工程师标准>>> ...
MIME
m0_50219079的博客
07-11 226
MIME类型语法通用结构独立类型常见独立类型Multipart 类型(联系 HTML Forms 和 POST 方法)重要的MIME类型application/octet-streamtext/plaintext/csstext/htmltext/javascriptmultipart/form-datamultipart/byteranges设置正确的MIME类型的重要性MIME 嗅探 说明:此文档只是学习笔记 语法 通用结构 type/subtype 由类型与子类型,俩个字符串组成 __type__表
X-Content-Type-Options 详解:如何防止 MIME 类型嗅探攻击
记录学习的过程
02-21 1004
X-Content-Type-Options: nosniff 是一个简单但有效的安全措施,能够防止浏览器对响应内容进行 MIME 类型嗅探,从而减少安全风险。X-Content-Type-Options 通过设置 nosniff 指令,告诉浏览器不要对响应内容进行 MIME 类型嗅探,必须严格按照服务器返回的 Content-Type 头处理内容。MIME 类型嗅探浏览器的一种行为,当服务器未明确指定响应内容的 MIME 类型时,浏览器会尝试根据内容推断其类型。
MIME是什么?举个例子就够了
天程十八的博客
09-17 1467
MI是媒体,ME是类型,总的大致意思是媒体类型; MIME的具体化就是Content-Type 下面举个MIME的例子: Content-Type: text/html;charset:utf-8; text表示主类型; html表示次类型; charset表示参数; utf-8表示参数的值; 因此,Conten-Type存在一个固定的格式:type/subtype;parameter:ty...
密码学系列之:内容嗅探
程序那些事
03-10 6486
内容嗅探,也被称为媒体类型嗅探MIME嗅探,是检查一个字节流的内容,试图推断其中数据的文件格式的做法。内容嗅探通常用在媒体类型没有被准确指定的情况,用于补偿元数据信息。 本文将会讲解内容嗅探的常用场景和可能出现的问题。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值