燃烧吧,我的小宇宙! 收藏本站
登陆 / 注册 搜索

阅读: 6.3K   回复: 3

[# 网络安全] WEB安全第九课 非HTML类型文件 之一 纯文本文件

小执念 古黑浩劫论坛大牛 2016-8-26 22:34 |显示全部楼层

可遇不可求的事:故乡的云,上古的玉,随手的诗,十九岁的你。

管理员
        除了HTML文档,常用的Web浏览器还可以识别和显示其他若干格式的文件;而浏览器支持的文档类型也只会越来越多。

        因为某些文档格式具有强大的脚本能力,以及浏览器处理这些内容时的各种别扭古怪机制,所以本章我们要对浏览器原生支持的这些输入类型详加研究。

        在非HTML文档里,浏览器能识别的最平淡无奇的类型大概非纯文本文件莫属了。在浏览器的呈现状态下,纯文本文件完全是原样显示,通常来说并没有什么字体格式,除了有可能会需要根据编码字符集进行显示,基本上也完全不会改变原有的数据样式。

WEB安全第九课 非HTML类型文件 之一 纯文本文件 QQ截图20160826223158.png
       
        在HTTP响应里,如果带有Content-Type:text/plain响应头,该页面就会被浏览器视为纯文本文件。除IE浏览器以外的其他各种浏览器里,在收到没有头域的HTTP/0.9响应和缺少Content-Type头域的HTTP/1.X响应时,也会默认回退为纯文本显示状态;在这两种情况下,如果其他的猜测式内容检测都没有结果,就默认以纯文本格式显示了(但IE浏览器会无条件地回退为以HTML格式显示,这反倒是吻合Tim Berners-Lee原本的协议草案)。
       
        为了方便开发人员,大多数浏览器都会自动地把若干种MIME类型文件(如application/javascript)及其各种变种还有text/css类型全都映射为纯文本文件。但有趣的是,在RFC 4627里给JSON 响应设定的application/json 类型,却不在此列(可能因为很少在实际场合碰到这种类型)。
       
        没有专门针对纯文本显示的安全问题。但换而言之,因为其他浏览器组件和第三方代码中有许多差劲的设计,即使这种看起来无害的非HTML格式也有被误当成其他格式解析的风险,譬如被当成HTML格式。尤其值得引起重视的是攻击者能控制的纯文本,因为它们的布局往往完全不受限,所以特别容易被利用,会被误认作其他的格式。


巴黎环抱的花海 「龙战于野」 2017-9-3 09:10 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

确实好帖
清川带长薄 「出类拔萃」 2018-5-3 07:20 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

前排支持下
深海里的那抹蓝 「龙战于野」 2018-5-4 13:03 来自手机 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

希望你们能用功读书,不要像我只能靠脸混吃混喝。#t201:
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

关于本站|大事记|小黑屋|古黑论 网站统计

GMT+8, 2020-10-30 20:53 , Processed in 0.041704 second(s), 22 queries , Redis On.

© 2015-2020 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表