我应该改用 text/plain 吗?或者当涉及到跨站点安全性时,text/json 实际上是否会变得相同。
无论哪种方式,内容都是有效的 JSON,我只是想确保我对 Content-Type 标头是正确的。
问问题
1579 次
2 回答
1
没有影响为请求回答选择 mime 类型的安全考虑。请注意,JSON 的正确 mime 类型是 application/json。
于 2012-04-27T19:21:48.947 回答
1
是的,存在安全隐患。浏览器——尤其是 IE——通常会第二次猜测内容类型。原因是一段时间前,服务器以相同的内容类型交付所有内容,因此浏览器必须进行猜测才能正确显示内容。Text/plain 因内容嗅探(第二次猜测)而臭名昭著。如果您的 json 在某些值中包含 html,那么如果您直接在浏览器中打开该 url,浏览器可能会确定它的 HTML 并呈现它。这可能导致 XSS。
于 2012-04-28T05:09:18.800 回答