FlashはContent-Typeヘッダーを無視し、XSSを許可しますか？

つまり、ユーザーがアップロードしたコンテンツを提供する際のXSSに対する標準的な防御では不十分です。

ユーザーがアップロードしたコンテンツを提供する際のXSSに対する標準的な防御策は、異なるアドレスから提供することです（理想的には完全に異なるドメインとIPアドレスですが、サブドメインは少なくともsome攻撃を阻止します）。つまり、XSSの犠牲​​になることを許可しますが、そのような妥協がメインサイトに害を与えないように、XSSを分離します。

たとえば、ユーザーが任意のテキストファイルをアップロードして、要求した人にそれを提供できるようにする場合、標準的なアプローチは、応答にContent-Type：text/plainを設定することです。これは安全で十分であると広く信じられています

完全に偽りである多くのことが広く信じられています。

_Content-Type_/_Content-Disposition_は、（ブラウザとプラグインの両方から）タイプスニッフィングに直面しても、十分な防御にはなりませんでした。 _text/plain_は最悪の場合です。Apacheにデフォルトで_Content-Type_として（不可避的に）含まれていたため、ほとんどのブラウザーは、ファイルの先頭からマジックワードをスニッフィングすることを優先して、その型を完全に示します。

これを修正するためにフラッシュにパッチが適用されていますか？

いいえ。ただし、_crossdomain.xml_構文が他のファイルタイプの内部に埋め込まれ、getPolicy()を介して読み込まれる、やや緩和された悪いものがあります。

問題を緩和する要素はありますか？

Same Origin Policyの独自のバリアントの下でFlashから許可される種類の対話は、必ずしもJavaScript Originへの完全なスクリプトを許可するわけではありません。しかし、ええ、それはかなり悪いです。

JavaとSilverlightには同様の問題があります。

Content-typeはセキュリティを提供するためのものではありません。これは、他の情報がない場合にWebページをどのように解釈すべきかについてのブラウザへの提案にすぎません。

Webページ（Flashオブジェクトの一部など）が、好きなコンテンツタイプで装飾されたページコンテンツをロードし、それを別のものとして解釈するのを妨げるものは何もありません。これは、フラッシュオブジェクト、またはXmlHttpRequestなどのシステムを介して発生する可能性があります。 （XHRクエリを実行して結果をevalするか、結果をページに盲目的に挿入すると、トーストと同じになります）

言い換えると、コンテンツタイプは、コンテンツの一部を提供するための基本的な動作をブラウザに指示します。 JavaScript、Flashなどのクライアントコードが何か別のことをするように言っている場合、その別の何かが起こります。

X-Content-Type-Options：nosniffはあなたの友達かもしれません。これは、ブラウザにコンテンツタイプを推測せずに、サーバーの発言に忠実であるように指示します。