来自Web服务器的每一个文件都有对应的MIME类型(也称为content-type),描述文件内容的属性,比如图片、文件、应用等。最近,IE开发经理Eric Lawrence在IE官方博客中就MIME处理方式的变化和安全性做了详细解释。
以前,某些HTML元素(特别是Link和Script)不会验证Web服务器提供的MIME类型。例如,即使Script的src属性指向一个声明为text/plain类型的文件,浏览器也会运行Script脚本。Eric强调这种方式存在安全隐患:
这会导致一些安全漏洞,特别是Link元素。
比如这样一种攻击,恶意网站包含一个指向另一网站HTML内容的Link引用。如果HTML内容包含常见字符,那么可能会被恶意网站的页面脚本访问。这种信息泄露会导致跨网站请求伪造和其他攻击(详见Carnegie-Mellon大学的一篇论文)。
在最近发布的一个安全更新中,微软开发团队修改了IE6/7/8的CSS处理方式——阻止所有跨源样式表(cross-origin stylesheet)除非它们声明了正确的HTTP相应头:Content-Type: text/css,这种保护措施可以确保Link和@IMPORT不会成为窃取其他网站内容的帮凶。
对于IE 9来说,除了修复以上问题,在MIME处理方面还包括了三个重要的安全性变化:
- 在IE 9标准模式下,同源样式表也必须采用正确的text/css类型,否则会被忽略。
- 如果服务器端指定X-Content-Type-Options: nosniff,那么Script元素将拒绝错误的MIME类型响应,在这种情况下正确的MIME类型是["text/javascript"、"application/javascript"、"text/ecmascript"、"application/ecmascript"、"text/x-javascript"、"application/x-javascript"、"text/jscript"、"text/vbscript"、"text/vbs"]。
- 采用text/plain类型传输的文件,IE不会主动将其判定成另一类型。