MIME Sniffing standard

MIME sniffing (Web)

[54] MIME sniffing は、ファイル内容の一部を使って MIME型を決定する操作です。


  1. 仕様書
  2. 文脈
  3. プロトコル
    1. sniffing 手法の選択
    2. sniffing
  4. 関連
  5. 歴史
    1. Web Applications 1.0
    2. IETF
    3. §
    4. MIME Sniffing Standard
    5. 媒体要素
    6. §



[61] fetch の結果 MIME sniffing が行われる場面については、 fetch を参照。

[62] その他に、 createImageBitmapBlob の場合にも、rules for sniffing images specifically が行われます。

[103] かつては WidgetsMIME型の決定でも参照されていました。


sniffing 手法の選択#

[51] 応答算出MIME型 (computed MIME type) は、 MIME type sniffing algorithm により次のように決定されます >>50

  1. [142] no-sniff flag を、応答に関する no-sniff flag に設定します。
  2. [63] check-for-apache-bug flag を、 応答supplied MIME type detection algorithm の結果に設定します。
  3. [69] null か、 MIME type portionunknown/unknown, application/unknown, */* のいずれかの場合: rules for identifying an unknown MIME type
    1. [82] sniff-scriptable flag を、 no-sniff flag否定に設定します。
    2. [115] sniff-scriptable flagの場合、
      1. [128] 条件を、「未知」に設定します。
    3. [129] それ以外の場合、
      1. [130] 条件を、「未知 (no-sniff flag)」に設定します。
  4. [53] それ以外で、 no-sniff flagの場合、
    1. [97] 条件を、「no-sniff flag」に設定します。
  5. [98] それ以外で、 check-for-apache-bug flagの場合: rules for distinguishing if a resource is text or binary
    1. [116] 条件を、「check-for-apache-bug flag」に設定します。
  6. [105] それ以外で、 XML MIME型の場合、
    1. [106] 条件を、「XML MIME型」に設定します。
  7. [107] それ以外で、 MIME type portiontext/html の場合、
    1. [117] 条件を、「text/html」に設定します。
  8. [108] それ以外で、利用者エージェントの対応する画像型の場合、
    1. [118] 条件を、「画像型」に設定します。
  9. [111] それ以外で、利用者エージェントの対応する音声または動画型の場合、
    1. [119] 条件を、「音声または動画型」に設定します。
  10. [204] それ以外の場合、
    1. [205] 条件を、「その他」に設定します。
  11. [124] 条件を、についての表 (>>127) の「対象」が「全」で「条件」条件に設定します。
  12. [126] 応答について条件の sniffing (>>125) を実行した結果を返します。

[133] object 要素では、 応答について次のようにします >>132

  1. [143] no-sniff flag を、応答に関する no-sniff flag に設定します。
  2. [144] を、応答supplied MIME type detection algorithm の結果に設定します。
  3. [135] null の場合、
    1. [134] sniff-scriptable flag を、 no-sniff flag否定に設定します。
    2. [145] sniff-scriptable flagの場合、
      1. [146] 条件を、「未知」に設定します。
    3. [147] それ以外の場合、
      1. [148] 条件を、「未知 (no-sniff flag)」に設定します。
  4. [136] それ以外の場合、
    1. [137] MIME type portiontext/plain の場合、
      1. [138] 条件を、「text/plain」に設定します。
    2. [141] それ以外の場合、
      1. [139] 条件を、「その他」に設定します。
  5. [140] 条件を、についての表 (>>127) の「対象」が「object」で「条件」条件に設定します。
  6. [149] 応答について条件の sniffing (>>125) を実行した結果を返します。

[131] 応答について rules for sniffing images specifically は、次のようにします >>50

  1. [150] を、応答supplied MIME type detection algorithm の結果に設定します。
  2. [151] XML MIME型の場合、
    1. [152] 条件を、「XML MIME型」に設定します。
  3. [153] それ以外の場合、
    1. [154] 条件を、「その他」に設定します。
  4. [155] 条件を、についての表 (>>127) の「対象」が「画像型」で「条件」条件に設定します。
  5. [156] 応答について条件の sniffing (>>125) を実行した結果を返します。

[157] 応答について rules for sniffing audio and video specifically は、次のようにします >>50

  1. [158] を、応答supplied MIME type detection algorithm の結果に設定します。
  2. [159] XML MIME型の場合、
    1. [160] 条件を、「XML MIME型」に設定します。
  3. [161] それ以外の場合、
    1. [162] 条件を、「その他」に設定します。
  4. [163] 条件を、についての表 (>>127) の「対象」が「音声・動画」で「条件」条件に設定します。
  5. [164] 応答について条件の sniffing (>>125) を実行した結果を返します。

[165] 応答について rules for sniffing fonts specifically は、次のようにします >>50

  1. [166] を、応答supplied MIME type detection algorithm の結果に設定します。
  2. [167] XML MIME型の場合、
    1. [168] 条件を、「XML MIME型」に設定します。
  3. [169] それ以外の場合、
    1. [170] 条件を、「その他」に設定します。
  4. [171] 条件を、についての表 (>>127) の「対象」が「フォント」で「条件」条件に設定します。
  5. [172] 応答について条件の sniffing (>>125) を実行した結果を返します。

[191] 応答についてテキストトラックのsniffing は、次のようにします (仕様書なし: >>190 参照)。

  1. [192] を、応答supplied MIME type detection algorithm の結果に設定します。
  2. [193] XML MIME型の場合、
    1. [194] 条件を、「XML MIME型」に設定します。
  3. [195] それ以外の場合、
    1. [196] 条件を、「その他」に設定します。
  4. [197] 条件を、についての表 (>>127) の「対象」が「テキストトラック」で「条件」条件に設定します。
  5. [198] 応答について条件の sniffing (>>125) を実行した結果を返します。
[127] 実施する sniffing の種別 (「場面」は最初に一致したものが該当)
対象条件scriptable非 scriptableBOMfeed or HTML画像音声・動画書庫フォントテキストトラックバイナリー既定値
未知 (no-sniff flag)text/plain
check-for-apache-bug flagtext/plain
no-sniff flag
音声・動画XML MIME型
テキストトラックXML MIME型
objectなし (no-sniff flag)text/plain

[199] 他に、古典スクリプトのfetchCSS (奇癖モード)、 cache manifest ではMIME型の指定があっても無視されます。 (内容の検査は行いません。) cache manifest については HTML Standard に将来他の MIME型が必要になれば sniffing することになるだろうとの注記があります (が、 AppCache廃止されつつあるので、今後もなさそうです)。


[125] 応答について条件の sniffing は、次のようにします。

  1. [173] 条件の「scriptable」が適用される場合、
  2. [174] 条件の「非 scriptable」が適用される場合、
  3. [203] 条件の「BOM」が「○」の場合、
  4. [175] 条件の「BOM」が「☆」の場合、
  5. [176] 条件の「feed or HTML」が適用される場合、
  6. [177] 条件の「画像」が適用される場合、
    1. [109] 結果null でない場合、
      1. [110] 結果を返し、ここで停止します。
  7. [178] 条件の「音声・動画」が適用される場合、
    1. [112] 結果null でない場合、
      1. [113] 結果を返し、ここで停止します。
  8. [179] 条件の「書庫」が適用される場合、
    1. [120] 結果null でない場合、
      1. [121] 結果を返し、ここで停止します。
  9. [180] 条件の「フォント」が適用される場合、
    1. [181] 結果null でない場合、
      1. [182] 結果を返し、ここで停止します。
  10. [200] 条件の「テキストトラック」が適用される場合 仕様書なし
    1. 先頭6バイトが WEBVTT なら、 text/vtt
    2. [201] 結果null でない場合、
      1. [202] 結果を返し、ここで停止します。
  11. [183] 条件の「バイナリー」が適用される場合、
    1. binary data bytes を含む場合、
      1. [123] application/octet-stream を返し、ここで停止します。
  12. [184] 条件の「既定値」を返します。


[25] Web 以外における MIME型sniffing については、 sniffing の項を参照。

[263] 関連: text/*


[55] IE は古くから Content-Type: ヘッダーを一部無視して拡張子を使ったり sniffing したりしており、それによって他の Webブラウザーと異なる解釈をしたり、 それによって (本来の仕様上は問題ないはずのもので) セキュリティー上の問題を引き起こしたりして非難されていました。 しかし間違った Content-Type: を送出する起源鯖も広く存在しており、 また他のブラウザーも scriptContent-Type: を無視したり、 img では sniffing を行ったりしていて、 sniffing を排除することは最早できない状況でした。

[247] IEtext/plain であってもHTMLタグらしきものが含まれている時 HTML とみなす場合がありました。

[248] IE は特定の条件を満たす text/html文書XML構文解析器で処理していました。

HTML/XML sniffing

[56] そうはいっても各 Webブラウザーが独自に異なる sniffing を行って標準仕様が存在しない状況では、 サーバー側でセキュリティー上の問題を回避するための十分な対策を施すのも困難 (何をもって十分としてよいかすらわからない状態) でありました。

[264] MENU, , http://ww32.tiki.ne.jp/~hiro-strider/shoukai.html

[265] >>264 これのリンク先の半分くらいは text/plain でHTMLソースが見えるのだけど、 昔の IE で見ていたときは HTML 表示されていたのだろうなあ。

Web Applications 1.0#

[57] 2007年頃になってようやく Ian Hickson によって WHATWG Web Applications 1.0 (後の HTML5、 現在の HTML Standard) で Webブラウザーが実装するべき sniffing の規則が正確かつ詳細に規定されるようになりました。

[189] 当初は Content-Encoding: ヘッダーの有無も結果に影響していましたが、 削除されました。


[58] その後 IETFW3C の圧力によって sniffingHTML5 仕様書から切り離され、 この分野の専門家である Adam Barth による Internet Draft として IETF で出版されるようになりました。

[71] RFC 7231 は、 Content-Type: ヘッダーが無い場合に sniffing を認めています >>72。それ以外でも sniffing が行われる現実も認めた上で、実装によって解釈が異なることはセキュリティー上のリスクであるとし、 sniffing を無効にするオプションの提供を推奨 (encourage) しています >>72

[73] 任意に利用者が有効にしたり無効にしたりできるのも、危険だと思うのですが・・・。

[81] HTTP/0.9 でも、sniffing拡張子による推測が認められています >>80


