内容类型text / json是否具有安全隐患?

时间:2012-04-27 18:59:52

标签: ajax json http xss content-type

我应该使用text / plain吗?或者,对于跨站点安全性,text / json实际上会变得相同。

无论哪种方式,内容都是有效的JSON,我只是想确保我对Content-Type标题是正确的。

2 个答案:

答案 0 :(得分:1)

没有影响请求答案的mime类型选择的安全注意事项。请注意,JSON的正确mime类型是application / json。

答案 1 :(得分:1)

是的,有安全隐患。浏览器 - 特别是IE - 通常会猜测内容类型。原因是,一段时间后,服务器将所有内容都作为相同的内容类型提供,因此浏览器必须猜测才能正确显示内容。 Text / plain因内容嗅探(第二次猜测)而臭名昭着。如果您的json在某些值中包含html,则有可能如果您直接在浏览器中打开该URL,浏览器将确定其HTML并进行渲染。这可能导致XSS。