已解決430363個問題，去搜搜看，總會有你想問的

net/http：DetectContentType 是否支持 JavaScript？

首頁猿問 net/http：DetectCo...

net/http：DetectContentType 是否支持 JavaScript？

茅侃侃 2022-10-24 16:05:38

DetectContentType，JavaScript 支持 ?https://github.com/golang/go/blob/c3931ab1b7bceddc56479d7ddbd7517d244bfe17/src/net/http/sniff.go#L21http Method DetectContentType背后是否有不支持JavaScript的真正原因？

查看完整描述

1 回答

臨摹微笑

TA貢獻1982條經驗獲得超2個贊

正如文檔注釋所述，DetectContentType實現了https://mimesniff.spec.whatwg.org/中描述的算法，該算法不檢測 JavaScript。那么問題就變成了：為什么不呢？

答案在規范的介紹中給出：

當“誠實”的服務器允許潛在的惡意用戶上傳他們自己的文件，然后使用低權限 MIME 類型提供這些文件的內容時，這些安全問題最為嚴重。例如，如果服務器認為客戶端會將貢獻的文件視為圖像（因此將其視為良性），但用戶代理認為內容是 HTML（因此有權執行其中包含的任何腳本），則攻擊者可能能夠竊取用戶的身份驗證憑據并發起其他跨站點腳本攻擊。（當然，惡意服務器可以在 Content-Type 標頭字段中指定任意 MIME 類型。）
本文檔描述了一種內容嗅探算法，該算法仔細平衡了用戶代理的兼容性需求與現有 Web 內容所施加的安全約束。

將不受信任的輸入標記為 JavaScript（或者即使是?。┛赡軙е掳踩珵碾y。

反對回復 2022-10-24

1 回答
0 關注
125 瀏覽

關注

添加回答

舉報

0/150

提交

取消

亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

熱搜

最近搜索清空

net/http：DetectContentType 是否支持 JavaScript？

net/http：DetectContentType 是否支持 JavaScript？

1 回答

添加回答

net/http：DetectContentType 是否支持 JavaScript？

net/http：DetectContentType 是否支持 JavaScript？