Web браузеры, игнорирующие Content-Type заголовок, уязвимы к межсайтовому скриптингу

Content-Type заголовок HTTP объекта определяет его MIME тип, который в свою очередь определяет, каким образом объект должен быть обработан. Ряд web-браузеров игнорирует этот заголовок, в результате чего объект может быть неправильно сконфигурирован. Уязвимость может приводить к межсайтовому скриптингу в некоторых Web приложениях.

Описание

Ряд полей заголовка, определенные для HTTP, дают мета информацию о снабжаемом объекте. Один такой заголовок, Content-Type, определяет тип MIME объекта, который в свою очередь определяет, как объект должен быть обработан web-браузером.

Неправильная обработка типа MIME объекта, может приводить к ряду проблем защиты, типа межсайтового скриптинга.

Microsoft Internet Explorer (версии 5.x и 6 со всеми патчами) и web-браузер Opera (под некоторыми конфигурациями), не в состоянии правильно обрабатывать text/plain MIME тип и интерпретируют объект как text/html. Это в свою очередь позволяет внедрять любые сценарии в пределах выполняемого объекта.

Web приложения, которые явно используют text/plain MIME тип, чтобы защищать своих пользователей от создания сценария на стороне клиента, также не могут защитить пользователей, использующих уязвимые web-браузеры. К этой проблеме также уязвимы большинство систем Web Mail и BBS.

Браузеры Netscape и Mozilla не уязвимы к этой проблеме. Для устранения уязвимости в OPERA, выберите Opera - select "File->Preferences->Applications->File types" и установите опцию "Determine action by MIME type".