Если у страницы не будет указан Content-Type (передаю привет старику HTTP/0.9) - браузер попытается сам определить содержимое. Тоже самое, если тип контента браузеру не будет знаком. Internet Explorer 8 (спи спокойно Windows XP), например, не признает application/json, поэтому HTML попавший в него также срендерится и XSS выполнится. В жизни этот браузер уже не встретить, но часто в BugBounty это принимают.
Для Chrome сниффинг HTML заработает, если первыми символами будет валидный HTML-тег. Например {"xss":""} — уже не пройдет.
Заголовок X-Content-Type-Options: nosniff в свою очередь отключает у браузера функциональность определения содержимого.
Другие посты по теме...
dance_malyshka_official @dance_malyshka
Моя Виталина ❤️открыла свой канал в telegram 🎉🎊💃там будет очень много интересного ☺️посты о тренировках и питание🍴🏆 истории из нашей жизни 🙌Скоро там будет пост как мы с ней познакомились☺️
|
|
HACKER BOOK @Hacker_BooK
📲MacroDroid - Автоматизация - с помощью этого простого приложения вы сможете автоматизировать большую часть своего смартфона. Делается это при помощи макросов, вы задаёте условие при котором будет происходить определенное...
|
|
Nopaytext💸 @nopaytext
Друзья, хочу напомнить вам про свой второй проект @freechest, где я сливаю для вас лучшие и эксклюзивные курсы, тренинги и другие платные инфопродукты на различные тематики!
Скоро там будет сделан небольшой ребрендинг,...
|
|
Бизнес на Youtube @youtubebiz
Оборудование для ютуб канала
Вообще если вы хотите снимать что-то вживую, это самая лучшая стратегия, так как контент будет полностью принадлежать вам и это будет полностью белый канал. Сегодня я расскажу про бюджетное...
|
|
Russian Bit News @BitRu
В Финляндии сразу 4 банка приостановили операции с крупнейшей финской криптобиржей Prasos Oy.
"за прошедший год, из легального оборота на биржевых торгах по биткоину, выбыли значительные объемы Евро, и теперь почти...
|