訳注: この文書はSuperseded Recommendationとして廃止された仕様です。この日本語訳は歴史的な意味しか持ちません。WHATWGによる最新のHTML仕様を参照ください。

WHATWG HTML日本語訳も参照することができます。

12 IANAの考慮

12.1 text/html

この登録は、IANAで正常に提出されている。

タイプ名:
text
サブタイプ名:
html
必須パラメータ:
必須パラメータなし
任意パラメータ:
charset

charsetパラメータは、文書内の任意の文字エンコーディング宣言を上書きし、文書の文字エンコーディングを断定的に指定するために供給されてもよい。パラメータの値は、ファイルをシリアル化するために使用される文字エンコーディングラベルでなければならない。[ENCODING]

エンコーディングの考慮:
8ビット(文字エンコーディング宣言の節を参照)
セキュリティの考慮:

全体小説はHTML文書に適用するセキュリティ上の考慮事項について書かれている。読者が詳細について参照する場合、多くはこの文書に記載されている。しかし、一部の一般的な懸念はここで特筆に値する:

HTMLはスクリプト化言語であり、多数のAPI(一部はこの文書に記載される)を持つ。スクリプトは、情報漏洩、認証情報漏洩、クロスサイトスクリプティング攻撃、クロスサイトリクエストフォージェリ、および他の多くの問題に関して潜在的なリスクをユーザーに公開できる。この仕様の設計は正しく実装されれば安全であることを意図する一方で、任意のソフトウェアと同様に、完全な実装は大規模な事業であり、ユーザーエージェントはセキュリティーバグを持つ可能性がある。

スクリプトを使用しないけれども、歴史的な理由により、レガシーコンテンツとの幅広い互換性を保つために必要であるが、不幸なセキュリティー上の問題をユーザーに公開するHTML内の特定の機能が存在する。具体的に、img要素はインターネット上のユーザーの場所からポートスキャンに影響を与えるための方法として他の機能と組み合わせて使用できる。これは、攻撃者が別の方法で判断することができないだろうローカルネットワークトポロジーを公開できる。

HTMLは、時に同一生成元ポリシーとして知られる区画化スキームに依存する。ほとんどの場合に生成元は、同じプロトコルを使用して、同じポート上で同じホストから提供されるすべてのページで構成する。

したがって、サイトの一部を形成する任意の信頼できないコンテンツがそのサイト上のすべての機密コンテンツとは異なる生成元でホストされていることを確認することは非常に重要である。信頼できないコンテンツは、同じ生成元に他のページを簡単に偽装でき、その生成元からデータを読み取り、実行するために生成元にスクリプトを引き起こし、たとえそれらがユニークなトークンによってクロスサイトリクエストフォージェリ攻撃から保護されている場合でも、その生成元からフォームを送信し、任意のサードパーティのリソースを公開するために活用するまたはその生成元に付与された権利を利用することができる。

相互運用性の考慮:
適合および非適合コンテンツの両方を処理するための規則は、発行済み仕様で定義される。
発行された仕様:
http://www.w3.org/TR/html
このメディアタイプを使用するアプリケーション:
ウェブブラウザ、ウェブコンテンツ処理のためのツール、HTMLオーサリングツール、検索エンジン、バリデータ。
フラグメント識別子の考慮:
text/htmlリソースとともに使用されるフラグメント識別子は、文書の指定された部分を参照するか、ページ内スクリプトに状態情報を提供する。フラグメント識別子の詳細な処理は、"Navigating to a fragment identifier"の節で定義される(http://www.w3.org/TR/html/browsers.html#scroll-to-fragid)。
利用法の制限:
何の制限も適用されない。
仮登録されたか?(標準ツリーのみ):
No.
追加情報:
  1. このタイプに対して廃止された別名:該当なし
  2. マジックナンバー:バイトシーケンスのないHTML文書を一意に識別できない。HTML文書を検出する詳細については、MIMEスニッフィング仕様で提供される。[MIMESNIFF]
  3. ファイル拡張子:"html"および"htmが一般に使用される。
  4. Macintoshファイルタイプコード:TEXT
  5. オブジェクト識別子:該当なし
より詳しい情報について連絡する人物および電子メールアドレス:
Robin Berjon <robin@berjon.com>
想定される利用法:
一般
著者:
Ian Hickson <ian@hixie.ch>
変更管理者:
W3C

12.2 multipart/x-mixed-replace

この登録は、IANAで正常に提出されている。

タイプ名:
multipart
サブタイプ名:
x-mixed-replace
必須パラメータ:
任意パラメータ:
任意パラメータなし
エンコーディングの考慮:
binary
セキュリティの考慮:
multipart/x-mixed-replaceリソースのサブリソースは、text/htmlなどの自明でないセキュリティーへの影響を持つタイプを含めた、任意のデータ型を指定できる。
相互運用性の考慮:
なし。
発行された仕様:
ウェブブラウザでこのタイプを処理する規則は、http://www.w3.org/TR/html/browsers.html#read-multipart-x-mixed-replaceで説明される。
このメディアタイプを使用するアプリケーション:
このタイプは、ウェブブラウザによって消費のために、ウェブサーバーによって生成されたリソースで使用されることを意図する。
フラグメント識別子の考慮:
multipart/x-mixed-replaceリソースとともに使用されるフラグメント識別子は、そのボディ部分で使用されるタイプで定義されているようにそれぞれのボディ部分に適用する。
利用法の制限:
何の制限も適用されない。
仮登録されたか?(標準ツリーのみ):
No.
追加情報:
  1. このタイプに対して廃止された別名:該当なし
  2. マジックナンバー:バイトシーケンスのないものを一意に識別できない。
  3. ファイル拡張子:いずれのファイル拡張子もこのタイプのために推奨されない。
  4. Macintoshファイルタイプコード:いずれのマッキントッシュファイルタイプコードもこのタイプのために推奨されない。
  5. オブジェクト識別子:該当なし
より詳しい情報について連絡する人物および電子メールアドレス:
Robin Berjon <robin@berjon.com>
想定される利用法:
一般
著者:
Ian Hickson <ian@hixie.ch>
変更管理者:
W3C

12.3 application/xhtml+xml

この登録は、IANAで正常に提出されている。

タイプ名:
application
サブタイプ名:
xhtml+xml
必須パラメータ:
なし。
任意パラメータ:
charset
application/xmlと同じ。[RFC7303]
profile
XHTMLプロファイルの概念は、HTML5で廃止されているように推奨されていない。どのようにこのパラメータが定義されたかの詳細については、RFC3236の8節を参照のこと。
エンコーディングの考慮:
binary
セキュリティの考慮:
http://www.w3.org/TR/htmlで指定されるように"text/html"に対して、およびRFC7303で指定されるようにおよび'application/xhtml+xml'に対しての考慮はまた、'application/xhtml+xml'を予約する。[RFC7303]
相互運用性の考慮:
適合および非適合コンテンツの両方を処理するための規則は、http://www.w3.org/TR/htmlで定義される。
発行された仕様:
application/xhtml+xmlタイプをもつリソースにラベル付けすることは、リソースがHTML名前空間のルート要素を持つ可能性のあるXML文書であることを主張する。したがって、関連する仕様は、XML仕様、XML仕様での名前空間、およびhttp://www.w3.org/TR/htmlである。[XML] [XMLNS]
このメディアタイプを使用するアプリケーション:
ウェブブラウザ、ウェブコンテンツ処理のためのツール、HTMLオーサリングツール、検索エンジン、バリデータ。
フラグメント識別子の考慮:
application/xmlと同じ。[RFC7303]
利用法の制限:
何の制限も適用されない。
仮登録されたか?(標準ツリーのみ):
No.
追加情報:
  1. このタイプに対して廃止された別名:該当なし
  2. マジックナンバー:バイトシーケンスのないXHTML文書を一意に識別できない。XHTML文書を検出する詳細については、MIMEスニッフィング仕様で提供される。[MIMESNIFF]
  3. ファイル拡張子:"xhtml"および"xht"は、時にHTML名前空間由来のルート要素を持つXMLリソースの拡張子として使用される。
  4. Macintoshファイルタイプコード:TEXT
  5. オブジェクト識別子:該当なし
より詳しい情報について連絡する人物および電子メールアドレス:
Robin Berjon <robin@berjon.com>
想定される利用法:
一般
著者:
Ian Hickson <ian@hixie.ch>
変更管理者:
W3C

12.4 application/x-www-form-urlencoded

この登録は、IANAで正常に提出されている。

タイプ名:
application
サブタイプ名:
x-www-form-urlencoded
必須パラメータ:
パラメータなし
任意パラメータ:
パラメータなし
エンコーディングの考慮:
7bit
セキュリティの考慮:

分離して、application/x-www-form-urlencodedペイロードはセキュリティ上のリスクをもたらすものでない。しかし、このタイプは通常フォーム送信の一部として使用されるので、HTMLフォームに適用するすべてのリスクは、このタイプのコンテキストで考慮する必要がある。

これらのリスクは、同一生成元ポリシーおよびHTMLフォームの異なる生成元のリーチ(http://www.w3.org/TR/cors/#security)、一般的なHTMLアプリケーションの脅威(http://www.w3.org/TR/html/single-page.html#writing-secure-applications-with-html)、ユーザからのフィードバック以外でクライアント側の検証に頼らない(http://www.w3.org/TR/html/single-page.html#security-forms)に関連する複数のカテゴリに分類される。

相互運用性の考慮:
application/x-www-form-urlencodedペイロードを生成して処理するための規則は、この仕様で定義される。
発行された仕様:
http://www.w3.org/TR/htmlは関連する仕様である。エンコーディングおよびデコーディングのためのアルゴリズムが定義される。
このメディアタイプを使用するアプリケーション:
ウェブブラウザとサーバー。
フラグメント識別子の考慮:
フラグメント識別子はapplication/x-www-form-urlencodedタイプでは意味を持たない。
利用法の制限:
このタイプは、HTMLフォーム送信ペイロードを記述するために使用されることを意図する。
仮登録されたか?(標準ツリーのみ):
No.
追加情報:
  1. このタイプに対して廃止された別名:該当なし
  2. マジックナンバー:そのようなペイロードを認識するための信頼性の高いメカニズムは存在しない。
  3. ファイル拡張子:該当なし
  4. Macintoshファイルタイプコード:該当なし
  5. オブジェクト識別子:該当なし
より詳しい情報について連絡する人物および電子メールアドレス:
Robin Berjon <robin@berjon.com>
想定される利用法:
一般
著者:
Ian Hickson <ian@hixie.ch>
変更管理者:
W3C

12.5 text/cache-manifest

この登録は、IANAで正常に提出されている。

タイプ名:
text
サブタイプ名:
cache-manifest
必須パラメータ:
パラメータなし
任意パラメータ:
charset

charsetパラメータは提供されてもよい。パラメータの値は"utf-8"でなければならない。このパラメータは、目的を達成しない。これはレガシーサーバとの互換性のためのみに許可される。

エンコーディングの考慮:
8bit
セキュリティの考慮:

キャッシュマニフェスト自身は、実行可能なコンテンツを含まず、機密情報がマニフェスト内に含まれない限り、すぐに危険を引き起こさない。

しかし、実装は、キャッシュマニフェストに基づくキャッシュを取り込む際、その特定の生成元ベースの制限が履行されることを確認するために、特定の規則に従う必要がある。これらの規則を正しく実装できない場合、情報漏洩、クロスサイトスクリプティング攻撃などが発生するかもしれない。

キャッシュ機構は典型的に汚染攻撃の対象であり、このファイルタイプがサポートするものも例外ではない。公開された仕様は、そのような問題(キャプティブポータルから特に悪意のないキャッシュポイズ)を軽減することを意図する手順を含むが、実装者は、キャッシングに注意を払うことを勧める。

また、このキャッシュ機構の永続性、ユーザーのプライバシー(http://www.w3.org/TR/html/single-page.html#expiring-application-caches)およびストレージリソース(http://www.w3.org/TR/html/single-page.html#disk-space)に関して注意がとられる必要がある。

相互運用性の考慮:
適合および非適合コンテンツの両方を処理するための規則は、HTML仕様で定義される。
発行された仕様:
http://www.w3.org/TR/htmlは関連する仕様である。
このメディアタイプを使用するアプリケーション:
ウェブブラウザ。
フラグメント識別子の考慮:
フラグメント識別子は、text/cache-manifestタイプで意味を持たない。
利用法の制限:
何の制限も適用されない。
仮登録されたか?(標準ツリーのみ):
No.
追加情報:
  1. このタイプに対して廃止された別名:該当なし
  2. マジックナンバー: "CACHE MANIFEST"の後に[ \t\r\n]
  3. ファイル拡張子:"appcache"、"manifest"
  4. Macintoshファイルタイプコード:いずれのマッキントッシュファイルタイプコードもこのタイプのために推奨されない。
  5. オブジェクト識別子:該当なし
より詳しい情報について連絡する人物および電子メールアドレス:
Robin Berjon <robin@berjon.com>
想定される利用法:
一般
著者:
Ian Hickson <ian@hixie.ch>
変更管理者:
W3C

12.6 web+スキーマ接頭辞

このセクションは、IANAのURIスキームレジストリで使用するための規則を説明する。これ自体は特定のスキームを登録しない。[RFC4395]

URIスキーム名:
スキームは、4文字"web+"で始まり、その後にa-z範囲内の1つ以上の文字が続く。
Status(状態)
permanent
URIスキーム構文:
スキーム固有。
URIスキームセマンティック:
スキーム固有。
エンコーディングの考慮:
すべての"web+"スキームは、UTF-8エンコーディングが関連したように使用すべきである。
このURIスキーム名を使用するアプリケーション/プロトコル:
スキーム固有。
相互運用性の考慮:
スキームは、ウェブアプリケーションのコンテキストで使用されることが期待される。
セキュリティの考慮:
任意のウェブページは、すべての"web+"スキームに対するハンドラを登録できる。このように、これらスキームはコアプラットフォームの機能(たとえばHTTPまたはFTPなどのネットワーク転送プロトコルなど)になるように意図された機能のために使用してはならない。同様に、このようなスキームは、ユーザー名、パスワード、個人情報、または機密プロジェクト名として、そのURLに機密情報を格納してはならない。
連絡先:
Ian Hickson <ian@hixie.ch>
著者/変更管理者:
Ian Hickson <ian@hixie.ch>
参考文献:
Custom scheme and content handlers, HTML Living Standard: http://www.whatwg.org/specs/web-apps/current-work/#custom-handlers