XSS riflettente nei codici di script con tipo di contenuto "text / javascript"

Innanzitutto, text/javascript è obsoleto e, di conseguenza, meno affidabile. Il tipo MIME ufficiale accettato per JavaScript è application/javascript . Qualcuno dei principali browser moderni dovrebbe sapere come gestire quest'ultimo senza eseguirlo direttamente se visitato.

Riguardo alle vulnerabilità di sicurezza presenti in Internet Explorer, i tipi MIME di JavaScript sembrano non essere interessati. In un articolo di Microsoft sul rilevamento del tipo MIME , ci sono tipi riconosciuti chiaramente definiti , dove JavaScript non è presente. Ciò significa che Internet Explorer utilizzerà automaticamente tutto ciò che viene restituito dal server:

If the "suggested" (server-provided) MIME type is unknown (not known and not ambiguous), FindMimeFromData immediately returns this MIME type as the final determination. The reason for this is that new MIME types are continually emerging, and these MIME types might have formats that are difficult to distinguish from the set of hard-coded MIME types for which tests exist.

Google Chrome tende a enfatizzare anche la compatibilità diretta, quindi presumibilmente si verificherà un processo simile.

Pertanto, uno script inviato con Content-Type: application/javascript non dovrebbe essere vulnerabile al tipo di sniffing, ma ciò non significa che non dovrebbero essere prese precauzioni necessarie per assicurarsi che ciò non avvenga. Le persone potrebbero utilizzare browser meno affidabili o visualizzare un file in un contesto diverso da un browser che non riconosce correttamente i tipi MIME.

Sarebbe meglio usare sempre X-Content-Type-Options: nosniff poiché questo caso è esattamente quello per cui è stato progettato.

The question is, will any version of any browser, sniff a raw script code with Content-Type: text/javascript header set, given that X-Content-Type-Options: nosniff is not set.

Per eseguire lo script all'interno del browser, non importa se il tipo viene annusato o meno. Se solo lo script stesso viene fornito al browser, cioè non è incorporato in qualche modo in HTML, quindi il browser non ha un documento in cui lo script può essere eseguito. Ciò significa che lo script verrà visualizzato o scaricato ma non eseguito nel contesto di un documento HTML. Se si utilizza Internet Explorer, potrebbe anche offrire lo script per l'esecuzione, in modo simile ad altri contenuti eseguibili. Alcuni test con IE11 dimostrano che non importa quale sia il Content-Type in questo caso, perché i dati saranno mostrati in linea (testo / plain, immagini) o saranno offerti per il download e forse per l'esecuzione. Se l'esecuzione è offerta sembra dipendere unicamente dall'estensione del file e X-Content-Type-Options: nosniff sembra non avere alcun effetto su questa decisione.

Se lo script è incorporato o referenziato all'interno di un documento HTML, il tipo di contenuto per lo più non ha importanza perché il browser "sa" quale deve essere il contenuto (cioè Javascript) e di solito ignora il tipo di contenuto impostato da il server comunque. Così puoi consegnare con successo un file Javascript con un tipo di contenuto di testo / semplice, application / octet-stream e persino image / gif alla maggior parte dei browser. Dai browser che ho controllato qualche tempo fa, solo le versioni più recenti di Chrome escludere alcuni tipi di contenuto, cioè non è più possibile includere script in un tipo di contenuto di immagine / qualsiasi cosa in Chrome. Funziona ancora con altri browser.

Le versioni precedenti di IE lo tratteranno, se lo incorpori in un tag script verrà reso ed eseguito