MIME タイプのセキュリティ リスクの軽減

.NET Framework 3.0

サーバーが応答ヘッダー "X-Content-Type-Options: nosniff" を送信する場合、script 要素と styleSheet 要素は、誤った MIME タイプでの応答を拒否します。これは、MIME タイプの問題を悪用した攻撃を防ぐためのセキュリティ機能です。

この変更は、サーバーが応答で "X-Content-Type-Options: nosniff" ヘッダーを送信する場合のブラウザーの動作に影響します。

styleSheet 参照が受信する応答で "nosniff" ディレクティブが受信された場合、MIME タイプが "text/css" と一致しない限り、Windows Internet Explorer は "stylesheet" ファイルを読み込みません。

script 参照が取得する応答で "nosniff" ディレクティブが受信された場合、MIME タイプが以下の値の 1 つと一致しない限り、Internet Explorer は "script" ファイルを読み込みません。

  • "application/ecmascript"
  • "application/javascript"
  • "application/x-javascript"
  • "text/ecmascript"
  • "text/javascript"
  • "text/jscript"
  • "text/x-javascript"
  • "text/vbs"
  • "text/vbscript"

このようなコンテンツがブロックされると、F12 開発者ツールでは次のメッセージが表示されます。

SEC7112: Script from http://www.debugtheweb.com/test/mime/textplainnosniff.asp was blocked due to mime type mismatch script.asp

受信する "nosniff" ディレクティブを含む応答で、上の一覧に示した値の 1 つと一致する MIME タイプが使われていることを確認します。

適切でない MIME タイプが送信されるために Internet Explorer で正常に動作しないサイトを見つけたら、Connect までぜひご連絡ください。

関連トピック

 

 

表示:
© 2014 Microsoft