現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2016-45

Mozilla Foundation セキュリティアドバイザリ 2016-45

タイトル: CSP が multipart/x-mixed-replace で送信されたページに適用されない
重要度:
公開日: 2016/04/26
報告者: Muneaki Nishimura
影響を受ける製品: Firefox

修正済みのバージョン: Firefox 46

概要

Content Security Policy (CSP) が multipart/x-mixed-replace MIME タイプで送信された Web コンテンツに対して適切に適用されていないことが、株式会社リクルートテクノロジーズのセキュリティ研究者 Muneaki Nishimura (nishimunea) 氏によって報告されました。これにより、本来 CSP がブロックすべきところでスクリプトが実行され、その Web ページが潜在的なクロスサイトスクリプティング (XSS) やその他の攻撃から保護されなくなってしまいます。

参考資料