Upgrade to Pro — share decks privately, control downloads, hide ads and more …

The face of X-Content-Type-Options which you ma...

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Yu Yagihashi Yu Yagihashi
April 24, 2018
Programming
410
0

The face of X-Content-Type-Options which you may not know

LT向け資料。ざっっっっっっくりなのでまさかりはマジかんべん。 #roppongijs #2

Avatar for Yu Yagihashi

Yu Yagihashi

April 24, 2018

More Decks by Yu Yagihashi

See All by Yu Yagihashi
A Security Engineer in the Web Re-architecture Project
Avatar for Yu Yagihashi yagihashoo
0
1.2k
A talk about XSS thousand knocks(Shibuya.XSS techtalk#10)
Avatar for Yu Yagihashi yagihashoo
5
3.2k
katagaitai勉強会#6 EasyなWeb編 / katagaitaiCTF#6 Web
Avatar for Yu Yagihashi yagihashoo
1
1.3k

Other Decks in Programming

See All in Programming
10 Tips of AWS ~Gen AI on AWS~
Avatar for matsukada licux
5
490
WebAssembly を読み込むベストプラクティス 2026年春版 / Best Practices for Loading WebAssembly (Spring 2026)
Avatar for petamoriken / 森建 petamoriken
4
830
レガシーPHP転生 〜父がドメインエキスパートだったのでDDD+Claude Codeでチート開発します〜
Avatar for panda_program panda_program
0
1.1k
属人化しないコード品質の作り方_2026.04.07.pdf
Avatar for Masaki Murano muraaano
0
270
Back to the roots of date
Avatar for jinroq jinroq
0
530
Liberating Ruby's Parser from Lexer Hacks
Avatar for ydah ydah
2
2.3k
2026-04-15 Spring IO - I Can See Clearly Now
Avatar for Jonatan Ivanov jonatan_ivanov
1
130
TiDBのアーキテクチャから学ぶ分散システム入門 〜MySQL互換のNewSQLは何を解決するのか〜 / tidb-architecture-study
Avatar for DPon dznbk
1
200
iOS機能開発のAI環境と起きた変化
Avatar for Ryu-nakayama ryunakayama
0
190
SREに優しいTerraform構成 modulesとstateの組み方
Avatar for hiyanger hiyanger
2
150
AI時代のエンジニアリングの原則 / Engineering Principles in the AI ​​Era
Avatar for haru860 haru860
0
860
実践CRDT
Avatar for tamadeveloper tamadeveloper
0
600

Featured

See All Featured
The Illustrated Guide to Node.js - THAT Conference 2024
Avatar for David Neal reverentgeek
1
340
State of Search Keynote: SEO is Dead Long Live SEO
Avatar for Ryan Jones ryanjones
0
180
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
The Curious Case for Waylosing
Avatar for Cassini Nazir cassininazir
0
320
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
110
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.3k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
38
2.8k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
410
Lightning Talk: Beautiful Slides for Beginners
Avatar for Ines Montani inesmontani
PRO
1
530
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
770
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
10
1.1k
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
450

Transcript

  1. あなたの知らない(かもしれない)
 X-Content-Type-Options Yu YAGIHASHI(@yagihashoo) @Roppongi.js#2

  2. None
  3. None

  4. Content Sniffing • Content-Typeヘッダの内容に関係なく、レスポンスボディの内容に
 応じてIEがContent-Typeを勝手に判断する機能
 →と思っていませんか? • 正確なContent-Typeが設定されていても無視されるのが特に悪質で、
 その解決策としてX-Content-Type-Optionsヘッダによるこの機能の
 制御・無効化が一般的となった

    • 具体的には、HTMLタグを含む画像ファイルを開くとHTMLとして
 認識されてしまうことによるXSSなど

  5. FirefoxとかChromeにもあるよ • 画像を開くとHTMLに!みたいなトンデモ仕様はない(はず) • (LTなので)細かい挙動は調べていないが、どちらかというと内容よりも
 コンテキストに応じて既存のContent-Typeヘッダの値を無視し、
 別のContent-Typeとしてロードする挙動をするように見える • 例えば、.jsファイルのContent-Typeがなぜかtext/htmlであっても
 script要素のsrc属性で指定し、ロードできるなど

  6. FirefoxとかChromeにもあるよ HTML PNGファイルだよ〜 は?JSとして読むわ <script src=“hoge.png”></script> \x89PNG~~~~~~ Content-Type: image/png

  7. ごく一般的なGIFファイル GIF8=1;alert("あなたの知らない(かもしれない)X-Content-Type-Options")

  8. fileコマンドでも

  9. PHPでも

  10. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

  11. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

    XSSの脆弱性があるが、いい感じのCSPヘッダに よって悪い感じのコードはそもそも動かない

  12. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

    攻撃者が自由に画像ファイルを
 同一オリジンにアップロードできる

  13. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

    XSSで埋め込んだscript要素から
 同一オリジンにアップロードした
 悪い感じのGIFファイルを参照する

  14. シナリオ HTML Content-Security-Policy: default-src ‘self’ GIF(仮) <script src=“hoge.gif”></script> なんか悪い感じのJSコード GIF(仮)

    CSPでいい感じなのに
 XSSできてしまう!!!

  15. さいごに • やることは変わらないです。X-C-T-O: nosniff、ちゃんと付けましょう。