IEのおせっかい機能は危険?!
[無視できない]IEのContent-Type無視 − @ITを読んで知ったのですが、IE(Internet Explorer)には、Content sniffingと言う機能があるのですね。どんな物かと言うと、httpdサーバが送ってきたContent-Type(ファイルの種別がどういう物か、httpdサーバがWebブラウザに教える方法)を無視して、ファイルの内容でIEが動作を変える事です。
便利なように見えて、これが危険で、クロスサイトスクリプティング(XSS※)と言うセキュリティー問題にさらされる場合があるそうです。
普通のHTML文書の場合、Content-Typeはtext/htmlで、まともなWebブラウザはこれを見てHTML表示をします。text/plainだったら、テキストファイルとして扱います。
IEの場合だと、Content-Typeの無視によって、問題が発生します。例えばwikiに置かれたテキストファイルの中に、悪意のあるコードが埋め込まれていて、それをIEがHTML文書として処理しようとした時に、XSSが発生します。
IEのおせっかい機能の為に、危険にさらされてしまいます。
ユーザ側で出来る最低限の措置は、IEのセキュリティ設定で、「拡張子ではなく、内容によってファイルを開く」のラジオボタンを「無効にする」に設定する事のようです。(デフォルトは「有効にする」)
でも、これを設定していた場合でも、HTMLじゃない文書をHTMLだとIEが勝手に判断する場合があるようです。URLとかWindowsのレジストリ設定とかから判断されるようです。
IEを使わないと言うのが、良い対策だと思います。でも、時々IEじゃないとまともに使えないサイトがあるのが困ります。
※クロスサイトスクリプティング(Cross Site Scripting:XSS)とは、セキュリティーに脆弱なサイトを踏み台にして、cookieを盗むような悪意のあるコードを実行させる事のようです。cookieを盗まれると、ショッピングサイトで他人に勝手に買い物をされる場合があるようです。
なるべく、わかりやすいように書いたつもりですが、元の文書を100%理解して書いた訳ではないので、間違いが含まれているかも知れません。9割方は合っていると思います。