Al fine di prevenire Cross-site scripting (XSS) in un'applicazione web privata che supporta il caricamento delle immagini, Intendo rifiutare i browser vulnerabili allo sniffing dei contenuti.
Quali browser sono attualmente vulnerabili a questo exploit?
PS. Sono a conoscenza dell'intestazione X-Content-Type-Options , che non è completamente supportata per quanto ne so.
Se non si invia un'intestazione del tipo di contenuto, la maggior parte dei browser eseguirà lo sniffing dei contenuti. Se si invia un'intestazione del tipo di contenuto per quanto ne so, tutte le versioni di Internet Explorer eseguiranno lo sniffing a meno che non sia impostato x-content-type-options: nosniff . IE dovrebbe accettare questa intestazione iniziando con IE8 (blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx).
Solo un'idea: potresti provare a rilevare se il browser è vulnerabile allo sniffing del tipo di contenuto pubblicando una pagina HTML con un reindirizzamento come content-type: text/plain . Se il browser viene reindirizzato, è vulnerabile (si potrebbe anche verificare l'efficacia dell'opzione nosniff in questo modo). Se includi questa pagina di test in una iframe piccola e forse invisibile, puoi eseguire il controllo senza intaccare il resto del sito web.
Leggi altre domande sui tag web-application xss