Kazuhiko
kazuh****@fdiar*****
2005年 5月 21日 (土) 20:32:44 JST
かずひこです。 At Sat, 21 May 2005 18:58:42 +0900, Kazuhiko wrote: > この変更に際し、オリジナルの image_size ライブラリに若干変更を加えました > ので、ここに記しておきます。 > > * 先頭 128 バイトで判定しているのを 256 バイトに増やした > * 先頭 256 バイトが /<script\b/ にマッチすれば無条件に非画像とした > > ただし、この 256 バイトというのに明確な根拠はありません。 > <http://tdiary.ishinao.net/20050520.html#p02> を参考に、「おそらく先頭の > 256 バイトしかみていないであろう」という推測にもとづくものです。 手元の Mac OS X 版 Internet Explorer 5.2.3 (5815.1) で実験したところ、少 なくとも先頭 512 バイトに /<(html|head|title|body|script)/ がマッチしたら HTML 扱いされたので、 * 先頭 512 バイトで /<[a-z]+/i にマッチすれば無条件に非画像 と、とりいそぎ変更しました。 実際の危険を回避するという意味では、内容すべてを /<script\b/i でマッチさ せるのが確実だと思いますが、それを毎回やるのは高負荷だと思うので、もしそ れでやるなら mime-type の判定結果をキャッシュするようにしたいと思います。 # まあ、いずれにしても「Content-Type 無視」&&「Content-Disposition 無効」 # な Mac OS X 版 Internet Explorer は危険ですということで。 -- かずひこ <http://wiki.fdiary.net/kazuhiko/> 「恋とハックはアジャイルが命!」