net/http：是否支持 DetectContentType 分析 JavaScript？

2024-04-04 23:04:23 826人浏览八月长安

摘要

欢迎各位小伙伴来到编程网，相聚于此都是缘哈哈哈！今天我给大家带来《net/Http：是否支持 DetectContentType 分析 javascript？》，这篇文章主要讲到等等知识，如果你对g

欢迎各位小伙伴来到编程网，相聚于此都是缘哈哈哈！今天我给大家带来《net/Http：是否支持 DetectContentType 分析 javascript？》，这篇文章主要讲到等等知识，如果你对golang相关的知识非常感兴趣或者正在自学，都可以关注我，我会持续更新相关文章！当然，有什么建议也欢迎在评论留言提出！一起学习！

问题内容

检测内容类型，JavaScript 支持吗？

https://GitHub.com/Golang/go/blob/c3931ab1b7bceddc56479d7ddbd7517d244bfe17/src/net/http/sniff.go#L21

http 方法 DetectContentType 不支持 JavaScript 背后是否有真正的原因？

正确答案

正如文档注释所述，DetectContentType 实现了 https://mimesniff.spec.whatwg.org/ 中描述的算法，该算法不检测 JavaScript。那么问题就变成了：为什么不呢？

规范的介绍中给出了答案：

当“诚实”服务器允许潜在恶意用户上传自己的文件，然后使用低权限 MIME 类型提供这些文件的内容时，这些安全问题最为严重。例如，如果服务器认为客户端会将贡献的文件视为图像（因此将其视为良性），但用户代理认为内容是 html（因此有权执行其中包含的任何脚本），则攻击者可能能够窃取用户的身份验证凭据并发起其他跨站点脚本攻击。（当然，恶意服务器可以在 Content-Type 标头字段中指定任意 MIME 类型。）

本文档描述了一种内容嗅探算法，该算法仔细平衡用户代理的兼容性需求与现有 WEB 内容所施加的安全约束。

将不受信任的输入标记为 JavaScript（如果不是（甚至是！））可能会导致安全灾难。

到这里，我们也就讲完了《net/http：是否支持 DetectContentType 分析 JavaScript？》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注编程网公众号，带你了解更多关于的知识点！

您可能感兴趣的文档: