代码之家  ›  专栏  ›  技术社区  ›  pinkgothic sudip

IE和内容部署内联与扩展令牌

  •  4
  • pinkgothic sudip  · 技术社区  · 15 年前

    序言

    Mime-Type sniffing . 那部分是老新闻。

    关于如何与之抗争的建议往往是“提供一种内容类型即信任”(即任何不是文本/纯文本或应用程序/八位字节流的内容)或“在文件开头添加与您服务的类型无关的数据”。

    现在,我正在开发一个必须允许邮件附件(如电子邮件)的应用程序, (和电子邮件一样),我们想关闭XSS向量。I e的mime嗅探(在未修补的IE6-中,我必须支持,例如IE6/Win2000)就是这些向量之一- text/plain 包含html内容的文件将触发为html。在这一点上,重新编码不是一个选项,更改用户提供的附件只能在绝对不怀疑文件的恶意性的情况下进行,而且可能有人希望以文本形式发送HTML。

    现在, Microsoft's MSDN article 意味着情况可能比广告更容易解决:

    内容类型 指定但没有 内容处理 数据,互联网

    伟大的!

    除了我没有IE或者当前的方法来可靠地安装它(我意识到对于一个webdeveloper来说这是一个相当糟糕的状态,我希望很快能解决这个问题),而且这是灰色理论,我似乎不能完全得到确认的一种或另一种方式。当地消息说这条线是胡说八道的 内容处置:内联/ <default> 对它的口味来说不够具体 -类型 .

    但是x-*( 'extension-token' in the RFC

    试图搜索浏览器如何处理 内容配置: <extension-token> 没有任何成果(尽管我可能只是做错了,但我对谷歌的理解最近正在严重下滑)。我发现 one question

    问题

    如果你明确通过 ?

    内容配置: <扩展令牌> ?

    如果他们这样做是出于我的善意,假设它是默认值的同义词(实际上是“inline”,尽管我听说它在任何地方都没有定义?),它是否足够具体到IE 模仿嗅探?或者我真的是在想走这条路的时候开枪打自己的脚?

    3 回复  |  直到 13 年前
        1
  •  3
  •   Julian Reschke    15 年前

    注:

    注意:在Internet Explorer 6 for Windows XP Service Pack 2(SP2)中,MIME类型“text/plain”不含糊,并且从不在限制区域中呈现为HTML,即使内容表明这是正确的格式

        2
  •  2
  •   naugtur    15 年前

    我记得回短信时 Content-disposition: attachment ,但我不确定它是否适合你的情况。

    你不需要Windows(r)来安装ie6。尝试 ies4linux

        3
  •  -1
  •   Koter84    12 年前

    我发现了 http://www.browserstack.com/ 您可以通过flash应用程序在其服务器上使用任何版本的浏览器。

    这是一项付费服务,但是你可以使用modern.ie上的链接免费测试它三个月(由微软赞助,因为他们知道你使用这种工具为Internet Explorer开发)