mime嗅探的默认行为及Markdown文件响应格式

原创 于 2025-06-05 18:22:22 发布 · 置顶 · 1.2k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mime嗅探 #MD5请求验证 #Markdown文件响应格式 #xss攻击 #web安全

mime嗅探的默认行为及Markdown文件响应格式

目录

mime嗅探的默认行为及Markdown文件响应格式

一、何谓mime嗅探

二、mime嗅探的机理

2.1、发现mime的charset值为空。2.2、发现mime的本质essence[主类型/子类型]为空。2.3、发现mime的子类型mimeType为空。2.4、发现Content-Type响应标头需要获取、解码和分割才能得到结果,返回空。2.5、以上若值为空,则返回失败。2.6、对于多值values的每个值

2.7、如果mimeType为空,则返回失败。2.8、返回mimeType

三、html文档与text主类型

3.1、html的mimeType

3.2、文本类型的mimeType

3.3、错误的mimeType声明导致的结果

3.3.1、原本是想执行text/javascript结果被误判【嗅探】为结构解析

3.3.2、原本是想让js加载css进行样式渲染结果被误判【嗅探】为结构解析

3.3.3、原本是想让js加载.md文件注入到iFrame中的html结果被误判【嗅探】为结构解析

3.4、最终导致致命错误而被浏览器用户代理判定为404资源不存在

四、不同的mimeType文本格式产生不同的响应格式

4.1、虽然.txt 响应200 ok但这并非你想要的格式

4.2、错误的mimeType导致错误的.md的格式

 4.3、修正.md正确的mimeType的响应结果

五、mime嗅探的潜在风险及规避

5.1、text/html和text/markdown的本质区别

5.2、xss注入风险

5.3、mime嗅探潜在风险规避步骤

本博客相关博文 

喜欢就点赞、收藏,鼓励我坚持更多原创技术写作

一、何谓mime嗅探

        mime嗅探,英文MIME Sniffing,它是浏览器的默认行为,当用户请求某个资源,浏览器用户代理拦截响应时,若发现应用服务未明确声明该资源的内容类型时,或浏览器判断服务申明的内容类型貌似不正确时,浏览器便开启了其默认的“mime嗅探”行为。

二、mime嗅探的机理

        ` Content-Type` 标头在 HTTP 中定义较为广泛。由于 HTTP 中定义的模型与 Web 内容不兼容,按照HTTP标准模型来进行处理,从响应中提取Content-Type并进行识别处理,返回失败或正确的mime类型步骤:

2.1、发现mime的charset值为空。
2.2、发现mime的本质essence[主类型/子类型]为空。
2.3、发现mime的子类型mimeType为空。
2.4、发现Content-Type响应标头需要获取、解码和分割才能得到结果,返回空。
2.5、以上若值为空,则返回失败。
2.6、对于多值values的每个值

2.6.1、让temporaryMimeType成为解析value的结果。
2.6.2、如果temporaryMimeType失败或其本质为“ */*”,则继续。
2.6.3、将mimeType设置为temporaryMimeType。
2.6.4、如果mimeType的本质essence[主类型/子类型],则:
2.6.4.1、将其参数[字符集charset]设置为空。
2.6.4.2、如果mimeType的参数[" charset"]存在,则将charset设置为mimeType的参数[" charset"]。
2.6.4.3、将essence设置为mimeType的本质essence。
2.6.4.5、否则,如果mimeType的参数[" charset"] 不存在,并且charset非空,则将mimeType的参数[" charset"] 设置为charset。


2.7、如果mimeType为空,则返回失败。
2.8、返回mimeType

        如果浏览器提取MIME类型返回失败,或者MIME类型的本质与给定格式不符,则应将其视为致命错误。现有的Web服务功能并非始终遵循此规则。
        多年来,这一直是这些Web服务功能安全漏洞的主要来源。相比之下,MIME类型的参数通常可以安全地忽略。

三、html文档与text主类型

3.1、html的mimeType

        html的mimeType是text/html;charset=UTF-8。

3.2、文本类型的mimeType

        常用的有:text/plain,text/html,text/xml,text/markdown,text/javascript,text/css等。

3.3、错误的mimeType声明导致的结果

        以下为旧版的【遗留格式】,不建议使用 :

标头(与网络上的一样) 输出(序列化)
最低0.47元/天 解锁文章
所有的Python库,我都整理在这里了
kakA的博客
10-12 1627
加班加点整理出来的Python库,希望看到此篇文章的各位小伙伴,都可以学好Python~
Python常用库 - 【持续整理归档】
云度
01-06 6688
Python常用库 - 【持续整理归档】,比较多,会逐步慢慢细化分类和扩从python常用库。 目录 1、常用库 2、Python文件处理库 3、Python图像处理库 4、Python游戏和多媒体类库 5、大数据与科学计算 6、其功能与软件MATLAB、Scilab和GNU Octave类似。 7、PyDy, Python动态建模函数库。 8、人工智能与机器学习 9、系统与命...
MIME简介
weixin_43842488的博客
07-04 242
在万维网中使用的HTTP协议中也使用了MIME的框架,标准被扩展为互联网媒体类型。 MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。 背景 多用途互联网邮件扩展,它是一个互联网标准,在1992年最早应用于电子邮件系统,但后来也应用到浏览器。服务器会将它们发送的多媒体数
mime-sniffer:一个 mime 类型的嗅探器,不仅可以检查扩展
07-01
哑剧嗅探器 从二进制文件中获取 mime 类型的小工具。 与不同, mime-sniffer 使用而不是文件扩展名来为给定文件获得更准确(并且更不容易伪造)的 mime 类型。 安装 npm install mime-sniffer --save 用法 var mime = require ( 'mime-sniffer' ) ; mime . lookup ( '/path/to/file.jpg' , function ( err , info ) { console . log ( info ) ; // { mime: 'image/jpeg', extension: 'jpg' } } ) ; 您还可以传入一个缓冲区: var fs = require ( 'fs' ) ; var mime = require ( 'mime-sniffer' ) ; mime .
IE的MIME嗅探
barfoo的专栏
09-25 2742
    IE从SP2开始进行了MIME嗅探的功能。以前的浏览器都是通过Content-Type来判断Resoponse流是何种类型的内容,进而调用不用的处理程序进行处理,如text/html表明接受的html代码,需要做html页面渲染,text/jpeg表明接受的图片文件,需要对接受到的数据流调用处理jpeg格式流的处理程序。    IE则在此基础上增加了对MIME嗅探功能,不仅仅根据Cont
X-Content-Type-Options 详解:如何防止 MIME 类型嗅探攻击
记录学习的过程
02-21 1043
X-Content-Type-Options: nosniff 是一个简单但有效的安全措施,能够防止浏览器对响应内容进行 MIME 类型嗅探,从而减少安全风险。X-Content-Type-Options 通过设置 nosniff 指令,告诉浏览器不要对响应内容进行 MIME 类型嗅探,必须严格按照服务器返回的 Content-Type 头处理内容。MIME 类型嗅探是浏览器的一种行为,当服务器未明确指定响应内容的 MIME 类型时,浏览器会尝试根据内容推断其类型。
MimeType对照表
嘿嘿嘿
01-05 1万+
MimeType收录
MIME
m0_50219079的博客
07-11 233
MIME类型语法通用结构独立类型常见独立类型Multipart 类型(联系 HTML Forms 和 POST 方法)重要的MIME类型application/octet-streamtext/plaintext/csstext/htmltext/javascriptmultipart/form-datamultipart/byteranges设置正确的MIME类型的重要性MIME 嗅探 说明:此文档只是学习笔记 语法 通用结构 type/subtype 由类型与子类型,俩个字符串组成 __type__表
Doks:基于Hugo的现代文档网站主题
Doks默认集成了HTTP安全响应头(Security Headers),如Content-Security-Policy (CSP)、X-Content-Type-Options、X-Frame-Options、Referrer-Policy等,这些头部可有效防止跨站脚本(XSS)、点击劫持、MIME类型嗅探...
response。setHeader在哪里设置
最新发布
05-28
同时,使用中文,避免使用Markdown格式,但按照用户的要求,在思考过程中不使用任何格式。需要检查是否有遗漏的常见场景,比如CORS相关的头设置,或者内容压缩等,但根据用户提供的引用,可能更关注缓存、安全、...
什么是 MIME types
weixin_34216036的博客
01-24 1335
所谓MIME的英文全称Multipurpose Internet Mail Extensions,翻译成中文“多功能英特网邮件扩展”,它实际上是目前互联网的一种标准。用于定义文件类型。 这在我们前端的工作中会经常遇到,因为不同于其他软件,浏览器在确定某个文件是何类型是取决于MIME type,而不是文件后缀扩展名。这对于服务器而言十分重要,服务器可以在response的Content-Type ...
史上最全的mime-type大全
热门推荐
kael_wyh的博客
05-18 1万+
原文地址:http://blog.haoji.me/mime-type.html?from=xa 什么是mime-type 简单来讲,它的作用就是服务器告诉浏览器你这个内容到底是个什么东东,是一张网页?还是一张图片?还是一个视频?浏览器只有知道了你这是个什么东西,才能正确处理它,mime就是这个东西,服务器通过Content-Type这个header来指定mime。 将xml转换成markdown表格代码 由于这里的内容是从tomcat/conf/web.xml中提取的,原始内容是xml格式,这里将其转换成
密码学系列之:内容嗅探
程序那些事
03-10 6506
内容嗅探,也被称为媒体类型嗅探MIME嗅探,是检查一个字节流的内容,试图推断其中数据的文件格式的做法。内容嗅探通常用在媒体类型没有被准确指定的情况,用于补偿元数据信息。 本文将会讲解内容嗅探的常用场景和可能出现的问题。
IIS添加md文件MIME映射
ZZULI_星.夜
09-12 1179
由于扩展配置问题而无法提供您请求的页面。如果该页面是脚本,请添加处理程序。如果应下载文件,请添加 MIME 映射。 第一步: windows 10系统,运行aspx页面出现上述错误信息,解决办法如下: iis7:控制面板-》打开或关闭windows功能-》Internet信息服务-》万维网服务-》应用程序开发功能,勾选上“.net扩展性”和“ASP.NET”,保存后,重启IIS服务器即可。 iis8:控制面板-》打开或关闭windows功能-》Internet信息服务-》万维网服务-》应用程序开发.
【HTTP完全注解】不为人知的MIME类型
汪啊汪
03-28 1654
MIME类型,也被称为媒体类型,用于表示HTTP传输的内容的类型,以便客户端或服务端正确处理解析传输的数据。MIME类型通常在HTTP标头中的 `Content-Type`字段中进行指定,例如下面的示例,如果要传输HTML文档,`Content-Type`头可能会设置为"text/html"。
【基于使用IIS服务器请求.md文件类型无法访问的解决访问】在 IIS MIME 类型中添加 md 扩展名【md文件是特殊的格式
qq_37312180的博客
12-08 605
添加MIME 类型为:text/x-markdown。管理器中,对网站IIS下MIME类型进行设置。添加文件扩展名为:.md
MIME Sniffing Standard
gitblog_00055的博客
03-17 522
MIME Sniffing Standard 是一个用于确定网络资源类型的标准,它可以被浏览器、服务器和其他应用程序用来自动检测资源的MIME类型。 项目简介 MIME Sniffing Standard提供了一种统一的方法来确定网络资源的MIME类型。在互联网上,每个文件或数据都有一个与之关联的MIME类型,这种类型可以告诉浏览器或其他应用程序如何处理这些数据。然而,在某些情况下,服务器可能会错...
常见文件类型及其对应的MIME类型
print_helloword的博客
08-14 2636
以上列出了广泛使用的各种文件类型及其MIME类型。这个列表几乎涵盖了大多数常见的文件类型,如果你需要处理文件上传、下载或内容类型验证,这些MIME类型将非常有用。如果有特殊需求,可能还需要查阅特定应用程序或系统使用的文件类型和MIME类型。
如何确保 Markitdown 输出的 Markdown 文件为 UTF-8 编码
加入“Super Entity”,与全能开发团队共探AI智能体与数字人项目,开启前沿技术之旅。
03-05 1257
markitdown是一个用于将 PDF 文件转换为 Markdown 格式的工具。它通过解析 PDF 文件的内容,并将其转换为 Markdown 格式,方便用户在 Markdown 编辑器中进一步处理。然而,markitdown并不支持直接指定输出文件的编码格式。在使用markitdown转换 PDF 文件Markdown 文件时,确保输出文件为 UTF-8 编码是关键。虽然markitdown不支持直接指定输出编码,但可以通过以下方法解决:确认工具的默认编码是否为 UTF-8。使用iconv。
PHP获取文件MIME类型类库:快速识别文件格式
- `'3gp' => 'video/3gpp'`: 3GP是移动设备的多媒体文件格式,其MIME类型是`video/3gpp`。 - `'pdf' => 'application/pdf'`: PDF是一种文档格式,此处未列出但在MIME映射中常见。 - `'png' => 'image/png'`: PNG...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

专讲冷知识

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值