09/03/08 13:36:36 Bga7+XJ70
>>301
状況がよく分からないけど可能性のあるものをいくつか。
・$IHDRコマンドはヘッダフィルタのOutでは使えない。 INでのみ使える。
・HTMLページのHTTPヘッダに必ず "Content-Type: text/html" が付いてくるわけじゃないので
マッチしない場合がある。 "text/html" で決め打ちすると漏れが発生する。
・ページのファイルタイプによっては "Content-Type" が "text/html" 以外のものになる。
"text/html" で決め打ちすると漏れが発生する。
>>282も同じ。 運が良ければ防げるフィルタになっている。
セキュリティの観点から見ればまず全てをブロックし、必要なものだけ解除するのが望ましい。
X-FRAME-OPTIONSヘッダを送ってくるサイトだからと言って無条件で許可するとサーバ管理者のミスや
悪質サーバに付けられたX-FRAME-OPTIONSに対して効力を無くしてしまう。
このような場合にはリストを使って許可するURIを指定し、必要なサイトにだけ許可を出すようにするのが
望ましい。 現時点ではこのヘッダを送ってくるサイトは見当たらないのでまだリストはいらない。
今日も後輩育てに一生懸命な3 9 5なのでした。