• 複数のWikiクローンのファイル添付機能にXSSな脆弱性 | スラド

これを読んでて、今更ながらはじめて知った。

IEだとContent-typeではなくファイルの中身を見て
判断しますから、添付を使わないが正しいかと．
でなければ各セキュリティゾーンのセキュリティの設定で
[その他]-[拡張子ではなく、内容によってファイルを開くこと]を
"無効にする"とすればいいかも．
ほかには ファイルを一回ローカルにダウンロードして、
アンチウィルスソフトによる検査をしてから開くという
手順を踏んでもいいと思います．
#価格コムで仕込まれたやつも.CSSに偽造した.chmを置いてましたね
#危険性は世の中のアプロダと一緒といえば一緒か(?)