1

代わりに text/plain を使用する必要があります。それとも、クロスサイト セキュリティに関しては、text/json は実際には同じ結果になるのでしょうか。

いずれにせよ、コンテンツは有効な JSON になります。Content-Type ヘッダーが正しいことを確認したいだけです。

4

2 に答える 2

1

要求回答のmimeタイプの選択に影響を与えるセキュリティ上の考慮事項はありません。JSONの適切なmimeタイプはapplication/jsonであることに注意してください。

于 2012-04-27T19:21:48.947 に答える
1

はい、セキュリティへの影響があります。ブラウザー (特に IE) は、コンテンツ タイプを 2 番目に推測することがよくあります。その理由は、以前はサーバーがすべてを同じコンテンツ タイプとして配信していたため、ブラウザーが物事を正しく表示するには推測する必要があったからです。text/plain はコンテンツ スニッフィング (二次推測) で有名です。json の一部の値に html が含まれている場合、ブラウザで直接 URL を開くと、ブラウザがその HTML を判断してレンダリングする可能性があります。これにより、XSS が発生する可能性があります。

于 2012-04-28T05:09:18.800 に答える