Para evitar Scripts entre sitios (XSS) en una aplicación web privada que admite la carga de imágenes, Tengo la intención de rechazar los navegadores que son vulnerables a la detección de contenido.
¿Qué navegadores son actualmente vulnerables a esta vulnerabilidad?
PS. Soy consciente del encabezado X-Content-Type-Options , que no es totalmente compatible por lo que sé.
Si no envías un encabezado de tipo de contenido, la mayoría de los navegadores rastrearán el contenido. Si envías un encabezado de tipo de contenido, por lo que sé, todas las versiones de internet explorer harán sniffing a menos que se establezca x-content-type-options: nosniff . IE debe aceptar este encabezado que comienza con IE8 (blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx).
Solo una idea: puede intentar detectar si el navegador es vulnerable a la detección de contenido al servir una página HTML con un redireccionamiento como content-type: text/plain . Si el navegador se redirige, es vulnerable (también puede verificar la efectividad de la opción nosniff de esta manera). Si solo incluye esta página de prueba en un iframe pequeño y quizás invisible, puede realizar la comprobación sin afectar el resto del sitio web.
Lea otras preguntas en las etiquetas web-application xss