领导力大挑战
在实施Scrum项目的过程中,Scrum Master的角色是相当关键的,因为他是团队的推动者。本文围绕什么是仆人式领导、仆人式领导的起源、如何将领导力传达给团队、Scrum Master作为仆人式领导者的角色展开叙述,同时重点阐述仆人式领导者应有的基本内外特征。
新闻
该内容已经被标记书签!
标记书签错误,请重试!
Internet Explorer更改MIME处理方式以提高安全性
作者 崔康 发布于 2010年10月27日
来自Web服务器的每一个文件都有对应的MIME类型(也称为content-type),描述文件内容的属性,比如图片、文件、应用等。最近,IE开发经理Eric Lawrence在IE官方博客中就MIME处理方式的变化和安全性做了详细解释。
以前,某些HTML元素(特别是Link和Script)不会验证Web服务器提供的MIME类型。例如,即使Script的src属性指向一个声明为text/plain类型的文件,浏览器也会运行Script脚本。Eric强调这种方式存在安全隐患:
这会导致一些安全漏洞,特别是Link元素。
比如这样一种攻击,恶意网站包含一个指向另一网站HTML内容的Link引用。如果HTML内容包含常见字符,那么可能会被恶意网站的页面脚本访问。这种信息泄露会导致跨网站请求伪造和其他攻击(详见Carnegie-Mellon大学的一篇论文)。
在最近发布的一个安全更新中,微软开发团队修改了IE6/7/8的CSS处理方式——阻止所有跨源样式表(cross-origin stylesheet)除非它们声明了正确的HTTP相应头:Content-Type: text/css,这种保护措施可以确保Link和@IMPORT不会成为窃取其他网站内容的帮凶。
对于IE 9来说,除了修复以上问题,在MIME处理方面还包括了三个重要的安全性变化:
- 在IE 9标准模式下,同源样式表也必须采用正确的text/css类型,否则会被忽略。
- 如果服务器端指定X-Content-Type-Options: nosniff,那么Script元素将拒绝错误的MIME类型响应,在这种情况下正确的MIME类型是["text/javascript"、"application/javascript"、"text/ecmascript"、"application/ecmascript"、"text/x-javascript"、"application/x-javascript"、"text/jscript"、"text/vbscript"、"text/vbs"]。
- 采用text/plain类型传输的文件,IE不会主动将其判定成另一类型。
崔康 热情的技术探索者,资深软件工程师,InfoQ编辑,从事企业级Web应用的相关工作,关注性能优化、Web技术、浏览器等领域。
最好都严格按照标准
发表人
Zhao Jeffrey
发表于
早就该修的bug
发表人
F Tiger
发表于
2 条回复
关注此讨论 回复