хочу сюди!
 

MELANA

39 років, рак, познайомиться з хлопцем у віці 49-51 років

Замітки з міткою «object»

Об интерпретации браузерами элемента object

Есть такой тег <object> в определении HTML, который вставляет на страницу объект определённого типа. Этот тип (MIME) задаётся атрибутом type, а само содержимое-источник атрибутом data. Всё вроде понятно, но что будет, если тип задаёт к примеру картинку, а загружается текст, или если MIME-тип ожидается text/plain, а сервер выдаёт по указанному адресу text/html?

Оказывается все браузеры поголовно интерпретируют содержимое какого оно типа есть, независимо от того, какой тип содержимого должен быть. Это приводит к некоторым уязвимостям. Например, если вместо картинки сервер выдаст Javascript, то последний будет выполнен браузером, что потенциально может причинить многие коварные неудобства пользователю, а также для загрузки нежелательного ПО.