[Momonga-devel.ja:01408] httpdのAddDefaultCharsetについて

From: Mitsuru Shimamura <mitsuru@xxxxxxxxxxxxxxx>
Date: Mon, 17 Feb 2003 02:01:19 +0900

smbdです

apache2(httpd)になってからXSS防止のためデフォルトのhttpd.confでは
HTTPのレスポンスヘッダのContent-Typeの部分に
"charset=iso-8859-1"なるものが付けられるようになりました
(参照: http://httpd.apache.org/info/css-security/);

http://lists.debian.or.jp/debian-users/200205/msg00419.html
この辺りを読むと

間違った文字コードで解釈してしまうと*偶然*
<script>hogefuga....と言う風になってしまうおそれがあるので
charsetを付けましょうと言ってるけど
逆に付加されることによって文字化けを引き起こしやすくなり
XSSの危険性が上がる

と言うことのようです
実際デフォルトの設定ではまともに運用できないので
AddDefaultCharset EUC-JP
や
AddDefaultCharset Off
となっていると思います

以上を踏まえてデフォルトのhttpd.confで
AddDefaultCharset Off
としたいと思いますがいかがでしょうか？

それでは

----
1024D/F6AC9AF9 2002-06-25 Mitsuru Shimamura (smbd) <mitsuru@xxxxxxxxxxxxxxx>
Fingerprint = B14F C51C FA61 3F7E 4D22 35DF 1384 2E7B F6AC 9AF9
http://smbd.homelinux.org/diary/
----

Follow-Ups:
- [Momonga-devel.ja:01419] Re: httpdのAddDefaultCharsetについて
  - From: Kazuhiko

Prev by Date: [Momonga-devel.ja:01407] busyboxの修正(0.60.2 to 0.60.5)
Next by Date: [Momonga-devel.ja:01409] Re: [kernel] orinoco_pci 0.01?
Previous by thread: [Momonga-devel.ja:01414] Re: busyboxの修正(0.60.2 to0.60.5)
Next by thread: [Momonga-devel.ja:01419] Re: httpdのAddDefaultCharsetについて
Index(es):
- Date
- Thread