Bug (????) immagini internet explorer 11

[crazy.cat]

Chi ha Internet explorer 11 può provare ad andare in questa pagina https://turbolab.it/utenti/crazy.cat e vedere se ci sono tutte le immagini a fianco degli articoli?
Oppure se vede alcune X cliccabili che aprono poi gli articoli lo stesso.


Con firefox funziona tutto regolarmente.

[Zane]

Problema confermato e risolto!

Era causato da Header always set X-Content-Type-Options nosniff

[hashcat]

Problema confermato e risolto!

Era causato da Header always set X-Content-Type-Options nosniff

Il bug mi è sembrato insolito: il comportamento che si manifestava (blocco dei contenuti) avviene solo in caso di discrepanze fra l'intestazione del contenuto servito ed il reale contenuto del file. Ho quindi cercato di replicare il comportamento di Internet Explorer utilizzando un proxy locale (forzando l'header nosniff) ed effettivamente il problema si manifesta.
Perché si verifica? Malgrado sia vecchiotto "The Proxomitron" è un piccolo strumento veramente utile: il problema è causato dal fatto che le immagini sono fornite con header "image/jpg" non conforme agli standard (quello corretto sarebbe "image/jpeg"). Tutto ciò causa due problemi degli di nota:

1. Se si cerca di visionare direttamente il file d'immagine, utilizzando Internet Explorer, questo non è renderizzato ma viene mostrata una richiesta di download: proprio perché il browser non riconosce il mimetype
2. Il parametro "nosniff" dell'header X-Content-Type-Options blocca la risorsa fornita con l'header errato (poi quest'ultimo differisce da quello del reale contenuto del file

Soluzione:

1. Riscrivere l'header erroneo rendendolo conforme
2. Applicare nuovamente il parametro "nosniff" all'header X-Content-Type-Options

Test:

1. Effettuo una richiesta ad un file d'immagine di TLI utilizzando Internet Explorer 11 connesso via proxy (The Proxomitron in modalità solo log, senza modifiche agli header) alla rete
   
   
2. Analizzo i parametri della richiesta
3. Analizzo il sorgente dell'immagine e i parametri della richiesta (attraverso una funzione di The Proxomitron) per accertarmi che l'intestazione dell'immagine sia conforme a quella jpeg standard (inizialmente sospettavo che le immagini fossero fornite in forma codificata via base64)
   
   
4. Pulisco la cache del browser
5. Rimuovo l'opzione di The Proximitron ed effettuo nuovamente la richiesta: viene mostrata una richiesta di download
   
   
6. Sempre mediante The Proxomitron applico e creo un filtro che si occupi di riscrivere l'header in maniera conforme e lo abilito
   
   
7. Pulisco la cache del browser
8. Effettuo nuovamente la richiesta: l'immagine viene mostrata correttamente
   
   
9. Creo un filtro che si occupi di "aggiungere" l'header mancante (X-Content-Type-Options: nosniff) e lo abilito
   
   
10. Pulisco la cache del browser
11. Effettuo nuovamente la richiesta: tutto bene come prima
12. Disabilito il filtro relativo al "nosniff"
13. Pulisco la cache del browser
14. Carico la homepage di TurboLab.it: viene renderizzata correttamente
    
    
15. Disabilito il filtro che riscrive l'header col quale vengono forniti i file d'immagine ed abilito quello relativo al "nosniff"
16. Pulisco la cache del browser
17. Carico la homepage di TurboLab.it: le immagini non vengono renderizzate
    
    
18. Abilito entrambi i filtri
19. Pulisco la cache del browser
20. Carico la homepage di TurboLab.it: viene renderizzata correttamente
    
    

[Zane]

Wow, complimenti per la tua completissima analisi! Manco a dirlo, il problema era proprio quello. Fixato poco fa (vuotare la cache del browser!).

[hashcat]

Wow, complimenti per la tua completissima analisi! Manco a dirlo, il problema era proprio quello. Fixato poco fa (vuotare la cache del browser!).

a te per la correzione!