我应该使用text / plain吗?或者,对于跨站点安全性,text / json实际上会变得相同。
无论哪种方式,内容都是有效的JSON,我只是想确保我对Content-Type标题是正确的。
2 个答案:
答案 0 :(得分:1)
没有影响请求答案的mime类型选择的安全注意事项。请注意,JSON的正确mime类型是application / json。
答案 1 :(得分:1)
是的,有安全隐患。浏览器 - 特别是IE - 通常会猜测内容类型。原因是,一段时间后,服务器将所有内容都作为相同的内容类型提供,因此浏览器必须猜测才能正确显示内容。
Text / plain因内容嗅探(第二次猜测)而臭名昭着。如果您的json在某些值中包含html,则有可能如果您直接在浏览器中打开该URL,浏览器将确定其HTML并进行渲染。这可能导致XSS。