<?PHP
  header("Content-type: application/json");
  $woyigui = 
一、前言
09 年写过一篇文章：json xss 防范（http://www.woyigui.cn/2009/04/28/json-xss/）。文章描述了控制Content-type类型，用于 json 回调 callback 函数接口(如：http://y.baidu.com/vote/data/detail_vote/290b873e69f2ec33a1e0c9f2?alt=html&callback=window.alert%28document.cookie%29&t=1294931209000 )XSS攻击的防范：


    

        

            

            
1
2
3
4
5

            
            

            
___FCKpd___1
            
        
    


因为之前公司全使用的是PHP代码，所以针对PHP代码此方案是相当有效的。时过变迁，换了公司后开始接触java\MVC等等框架，发现之前XSS解决方案针对现有的场景已经失效。
二、漏洞描述
最近测试发现，当文件后缀为 .htm\.html 后缀的情况下设置 application/json 等头部时，在 IE 浏览器下将不起作用，脚本依旧会执行。比如：


xss.html?callback=<script>alert(1)</script>


返回头部:


HTTP/1.1 200 OK
Date: Mon, 11 Jul 2011 06:17:05 GMT
Server: Apache
Content-Type: application/json;charset=GBK


此时，在 firefox 等浏览器里面执行会提示下载，脚本执行不成功，而当在 IE 里面去访问这个文件的时候，脚本就会执行的。
比如 utf-7 xss 的问题：


xss.htm?callback=%2B%2Fv9%20%2BADwAaAB0AG0APgA8AGIAbwBkAHkAPgA8AHMAYwByAGkAcAB0AD4AYQBsAGUAcgB0ACgAMQApADsAPAAvAHMAYwByAGkAcAB0AD4APAAvAGIAbwBkAHkAPgA8AC8AaAB0AG0APg-


如果采用控制文件内容方案设置 application/json 头部去防范 XSS，脚本也会执行的。
测试发现：
1、 .html : 可被绕过
2、 .htm：可被绕过
3、 .txt：可被绕过
4、 .php：可以防范
5、 .do：可以防范
6、 other：未测试
测试环境：
1、windows xp + ie6 + ie8
2、windows 7 + ie8 + ie9
三、原因
当请求的 http url 文件名扩展为：.htm .html 时，IE 首先会优先根据文件扩展名来判断解析文件内容（而非优先选择 application/json 头部做为首要依据），进而造成 XSS 攻击成功，绕过防范方法；
联想：IE 图片XSS解析漏洞、utf-7 xss 等等以内容解析而非以扩展名解析的攻击例子。
四、细节
1、application/javascript 等类型在IE下也是不起作用的。
2、设置头部：Cache-Control: max-age=0,no-cache 后，在IE访问漏洞URL时，需要请求两次。
五、解决方案
解决方案众多，在生成的扩展为 .html 等框架中，不要使用控制 Content-Type 方案即可。
GET["xss"];
  echo $woyigui;
?>