1. 17 IANAの考慮
    1. 17.1 text/html
    2. 17.2 multipart/x-mixed-replace
    3. 17.3 application/xhtml+xml
    4. 17.4 text/ping
    5. 17.5 application/microdata+json
    6. 17.6 text/event-stream
    7. 17.7 `Cross-Origin-Embedder-Policy`
    8. 17.8 `Cross-Origin-Embedder-Policy-Report-Only`
    9. 17.9 `Cross-Origin-Opener-Policy`
    10. 17.10 `Cross-Origin-Opener-Policy-Report-Only`
    11. 17.11 `Origin-Agent-Cluster`
    12. 17.12 `Ping-From`
    13. 17.13 `Ping-To`
    14. 17.14 `Refresh`
    15. 17.15 `Last-Event-ID`
    16. 17.16 `X-Frame-Options`
    17. 17.17 web+スキームプレフィックス

17 IANAの考慮

17.1 text/html

この登録は、コミュニティによるレビューのためであり、レビュー、承認、およびIANAへの登録のためにIESGに提出される予定である。

タイプ名:
text
サブタイプ名:
html
必須パラメーター:
必須パラメーターなし
任意パラメーター:
charset

charsetパラメーターは、バイトオーダーマーク(BOM)以外の文書内の任意の文字エンコーディング宣言を上書きし、文書の文字エンコーディングを指定するために供給されてもよい。属性が存在する場合、その値は"utf-8"に一致するASCII大文字・小文字不区別でなければならない。[ENCODING]

エンコーディングの考慮:
8ビット(文字エンコーディング宣言の節を参照)
セキュリティの考慮:

小説全体はHTML文書に適用するセキュリティ上の考慮事項について書かれている。読者が詳細について参照する場合、多くはこの文書に記載されている。しかし、一部の一般的な懸念はここで特筆に値する:

HTMLはスクリプト化言語であり、多数のAPI(一部はこの文書に記載される)を持つ。スクリプトは、情報漏洩、認証情報漏洩、クロスサイトスクリプティング攻撃、クロスサイトリクエストフォージェリー、および他の多くの問題に関して潜在的なリスクをユーザーに公開できる。この仕様の設計は正しく実装されれば安全であることを意図する一方で、任意のソフトウェアと同様に、完全な実装は大規模な事業であり、ユーザーエージェントはセキュリティバグを持つ可能性がある。

スクリプトを使用しないけれども、歴史的な理由により、レガシーコンテンツとの幅広い互換性を保つために必要であるが、不幸なセキュリティ上の問題をユーザーに公開するHTML内の特定の機能が存在する。具体的に、img要素はインターネット上のユーザーの場所からポートスキャンに影響を与えるための方法として他の機能と組み合わせて使用できる。これは、攻撃者が別の方法で判断することができないだろうローカルネットワークトポロジーを公開できる。

HTMLは、時に同一生成元ポリシーとして知られる区画化スキームに依存する。ほとんどの場合に生成元は、同じプロトコルを使用して、同じポート上で同じホストから提供されるすべてのページで構成する。

したがって、サイトの一部を形成する任意の信頼できないコンテンツがそのサイト上のすべての機密コンテンツとは異なる生成元でホストされていることを確認することは非常に重要である。信頼できないコンテンツは、同じ生成元に他のページを簡単に偽装でき、その生成元からデータを読み取り、実行するために生成元にスクリプトを引き起こし、たとえそれらが一意なトークンによってクロスサイトリクエストフォージェリー攻撃から保護されている場合でも、その生成元からフォームを送信し、任意のサードパーティのリソースを公開するために活用するまたはその生成元に付与された権利を利用することができる。

相互運用性の考慮:
適合および不適合コンテンツの両方を処理するための規則は、この仕様で定義される。
発行された仕様:
この文書は関連仕様である。text/htmlタイプをもつリソースにラベル付けすることは、リソースがHTML構文を使用するHTML文書であることを主張する。
このメディアタイプを使用するアプリケーション:
ウェブブラウザー、ウェブコンテンツ処理のためのツール、HTMLオーサリングツール、検索エンジン、バリデーター。
追加情報:
マジックナンバー:
バイトシーケンスのないHTML文書を一意に識別できない。HTML文書を検出する詳細については、MIME Sniffingで提供される。[MIMESNIFF]
ファイル拡張子:
"html"および"htmは一般的であるが、確実に排他的でなく、HTML文書の拡張子として使用される。
Macintoshファイルタイプコード:
TEXT
より詳しい情報について連絡する人物および電子メールアドレス:
Ian Hickson <ian@hixie.ch>
想定される利用法:
一般
利用法の制限:
何の制限も適用されない。
著者:
Ian Hickson <ian@hixie.ch>
変更管理者:
W3C

text/htmlリソースとともに使用されるフラグメントは、文書の指定された部分を参照するか、ページ内スクリプトに状態情報を提供する。

17.2 multipart/x-mixed-replace

この登録は、コミュニティによるレビューのためであり、レビュー、承認、およびIANAへの登録のためにIESGに提出される予定である。

タイプ名:
multipart
サブタイプ名:
x-mixed-replace
必須パラメーター:
任意パラメーター:
任意パラメーターなし
エンコーディングの考慮:
binary
セキュリティの考慮:
multipart/x-mixed-replaceリソースのサブリソースは、text/htmlなどの自明でないセキュリティへの影響を持つタイプを含めた、任意のデータ型を指定できる。
相互運用性の考慮:
なし。
発行された仕様:
この仕様は、ウェブブラウザーのための処理規則について説明する。このタイプのリソースを生成するための適合性要件は、multipart/mixedの場合と同じである。[RFC2046]
このメディアタイプを使用するアプリケーション:
このタイプは、ウェブブラウザーによって消費のために、ウェブサーバーによって生成されたリソースで使用されることを意図する。
追加情報:
マジックナンバー:
バイトシーケンスのないmultipart/x-mixed-replaceリソースを一意に識別できない。
ファイル拡張子:
いずれのファイル拡張子もこのタイプのために推奨されない。
Macintoshファイルタイプコード:
いずれのマッキントッシュファイルタイプコードもこのタイプのために推奨されない。
より詳しい情報について連絡する人物および電子メールアドレス:
Ian Hickson <ian@hixie.ch>
想定される利用法:
一般
利用法の制限:
何の制限も適用されない。
著者:
Ian Hickson <ian@hixie.ch>
変更管理者:
W3C

multipart/x-mixed-replaceリソースとともに使用されるフラグメントは、そのボディ部分で使用されるタイプで定義されているようにそれぞれのボディ部分に適用する。

17.3 application/xhtml+xml

この登録は、コミュニティによるレビューのためであり、レビュー、承認、およびIANAへの登録のためにIESGに提出される予定である。

タイプ名:
application
サブタイプ名:
xhtml+xml
必須パラメーター:
application/xmlと同じ [RFC7303]
任意パラメーター:
application/xmlと同じ [RFC7303]
エンコーディングの考慮:
application/xmlと同じ [RFC7303]
セキュリティの考慮:
application/xmlと同じ [RFC7303]
相互運用性の考慮:
application/xmlと同じ [RFC7303]
発行された仕様:
application/xhtml+xmlタイプをもつリソースにラベル付けすることは、リソースがHTML名前空間由来の文書要素を持つ可能性のあるXML文書であることを主張する。したがって、関連する仕様は、XMLNamespaces in XML、およびこの仕様である。[XML] [XMLNS]
このメディアタイプを使用するアプリケーション:
application/xmlと同じ [RFC7303]
追加情報:
マジックナンバー:
application/xmlと同じ [RFC7303]
ファイル拡張子:
"xhtml"および"xht"は、時にHTML名前空間由来の文書要素を持つXMLリソースの拡張子として使用される。
Macintoshファイルタイプコード:
TEXT
より詳しい情報について連絡する人物および電子メールアドレス:
Ian Hickson <ian@hixie.ch>
想定される利用法:
一般
利用法の制限:
何の制限も適用されない。
著者:
Ian Hickson <ian@hixie.ch>
変更管理者:
W3C

application/xhtml+xmlリソースで使用されるフラグメントは、任意のXML MIMEタイプと同じセマンティックスを持つ。[RFC7303]

17.4 text/ping

この登録は、コミュニティによるレビューのためであり、レビュー、承認、およびIANAへの登録のためにIESGに提出される予定である。

タイプ名:
text
サブタイプ名:
ping
必須パラメーター:
パラメーターなし
任意パラメーター:
charset

charsetパラメーターは提供されてもよい。パラメーターの値は"utf-8"でなければならない。このパラメーターは、目的を達成しない。これはレガシーサーバーとの互換性のためのみに許可される。

エンコーディングの考慮:
該当事項なし。
セキュリティの考慮:

ハイパーリンク監査のコンテキストで説明される方法で独占的に使用される場合、このタイプは新しいセキュリティ上の懸念を導入しない。

相互運用性の考慮:
このタイプに適用される規則は、この仕様で定義される。
発行された仕様:
この文書は関連仕様である。
このメディアタイプを使用するアプリケーション:
ウェブブラウザー。
追加情報:
マジックナンバー:
text/pingリソースは、常に4バイト0x50 0x49 0x4E 0x47(`PING`)で構成される。
ファイル拡張子:
いずれのファイル拡張子もこのタイプに対して推奨されない。
Macintoshファイルタイプコード:
いずれのマッキントッシュファイルタイプコードもこのタイプのために推奨されない。
より詳しい情報について連絡する人物および電子メールアドレス:
Ian Hickson <ian@hixie.ch>
想定される利用法:
一般
利用法の制限:
ping属性のウェブブラウザーの処理の一部として生成されるHTTP POSTリクエストとともに使用するためのみを意図する。
著者:
Ian Hickson <ian@hixie.ch>
変更管理者:
W3C

フラグメントは、text/pingリソースで意味を持たない。

17.5 application/microdata+json

この登録は、コミュニティによるレビューのためであり、レビュー、承認、およびIANAへの登録のためにIESGに提出される予定である。

タイプ名:
application
サブタイプ名:
microdata+json
必須パラメーター:
application/jsonと同じ [JSON]
任意パラメーター:
application/jsonと同じ [JSON]
エンコーディングの考慮:
8ビット(常にUTF-8)
セキュリティの考慮:
application/jsonと同じ [JSON]
相互運用性の考慮:
application/jsonと同じ [JSON]
発行された仕様:
application/microdata+json型をもつリソースをラベリングすることは、リソースがエントリーの配列からなる"items"と呼ばれる単一のエントリーをもつオブジェクトで構成されるJSONテキストであることを主張する。これは、リソースと呼ばれるエントリーを持つオブジェクトで構成される。オブジェクトのそれぞれは、値が文字列である"id"と呼ばれるエントリーをもつオブジェクト、別の文字列である"type"と呼ばれるエントリー、およびオブジェクトまたは文字列のいずれかの配列からなる値をそれぞれ持つエントリーのオブジェクトである値となる"properties"と呼ばれるエントリーで構成される。前述の"items"エントリーにおけるオブジェクトと同じ形式であるオブジェクトとなる。したがって、関連する仕様は、JSONおよびこの仕様である。[JSON]
このメディアタイプを使用するアプリケーション:

特に、ドラッグ&ドロップのコンテキストで、HTMLのmicrodata機能をもつ用途を意図されるデータを転送するアプリケーションは、この型に対する主要なアプリケーションの分類である。

追加情報:
マジックナンバー:
application/jsonと同じ [JSON]
ファイル拡張子:
application/jsonと同じ [JSON]
Macintoshファイルタイプコード:
application/jsonと同じ [JSON]
より詳しい情報について連絡する人物および電子メールアドレス:
Ian Hickson <ian@hixie.ch>
想定される利用法:
一般
利用法の制限:
何の制限も適用されない。
著者:
Ian Hickson <ian@hixie.ch>
変更管理者:
W3C

application/microdata+jsonリソースとともに使用されるフラグメントは、任意のapplication/json(すなわち、書き込み時に、一切セマンティックスのない)とともに使用される場合と同じセマンティックスを持つ。[JSON]

17.6 text/event-stream

この登録は、コミュニティによるレビューのためであり、レビュー、承認、およびIANAへの登録のためにIESGに提出される予定である。

タイプ名:
text
サブタイプ名:
event-stream
必須パラメーター:
パラメーターなし
任意パラメーター:
charset

charsetパラメーターは提供されてもよい。パラメーターの値は"utf-8"でなければならない。このパラメーターは、目的を達成しない。これはレガシーサーバーとの互換性のためのみに許可される。

エンコーディングの考慮:
8ビット(常にUTF-8)
セキュリティの考慮:

情報漏洩をもたらしうるイベントストリームを消費するコンテンツの生成元とは異なる生成元からのイベントストリーム。これを回避するために、ユーザーエージェントは、CORSセマンティックスを適用する必要がある。[FETCH]

イベントストリームは、ユーザーエージェントを圧倒することができる。ユーザーエージェントは、イベントストリームからの情報過多のために、ローカルリソースの枯渇を避けるため適切な制限を適用することが期待される。

サーバーが急速に再接続をクライアントに引き起こしている状況が発生する場合、サーバーを圧倒することができる。自動的な再接続から適合クライアントを防ぐために、サーバーは容量の問題を示すために5xxステータスコードを使用すべきである。

相互運用性の考慮:
適合および不適合コンテンツの両方を処理するための規則は、この仕様で定義される。
発行された仕様:
この文書は関連仕様である。
このメディアタイプを使用するアプリケーション:
ウェブサービスを使用するウェブブラウザーおよびツール。
追加情報:
マジックナンバー:
いかなるバイトのシーケンスも一意にイベントストリームを識別することはできない。
ファイル拡張子:
いずれのファイル拡張子もこのタイプのために推奨されない。
Macintoshファイルタイプコード:
いずれのマッキントッシュファイルタイプコードもこのタイプのために推奨されない。
より詳しい情報について連絡する人物および電子メールアドレス:
Ian Hickson <ian@hixie.ch>
想定される利用法:
一般
利用法の制限:
この形式は、HTTPまたは同様のプロトコルを使用して配信される動的なオープンエンドストリームによって使用されることのみが期待される。有限のリソースは、このタイプで標識されることが期待されない。
著者:
Ian Hickson <ian@hixie.ch>
変更管理者:
W3C

フラグメントは、text/event-streamリソースで意味を持たない。

17.7 `Cross-Origin-Embedder-Policy`

この節は、Permanent Message Header Field Registryに登録するためのヘッダーを説明する。[RFC3864]

ヘッダーフィールド名:
Cross-Origin-Embedder-Policy
適用可能なプロトコル:
http
状態:
standard
著者/変更管理者:
WHATWG
仕様文書:
この文書は関連仕様である。
関連情報:
なし。

17.8 `Cross-Origin-Embedder-Policy-Report-Only`

この節は、Permanent Message Header Field Registryに登録するためのヘッダーを説明する。[RFC3864]

ヘッダーフィールド名:
Cross-Origin-Embedder-Policy-Report-Only
適用可能なプロトコル:
http
状態:
standard
著者/変更管理者:
WHATWG
仕様文書:
この文書は関連仕様である。
関連情報:
なし。

17.9 `Cross-Origin-Opener-Policy`

この節は、Permanent Message Header Field Registryに登録するためのヘッダーを説明する。[RFC3864]

ヘッダーフィールド名:
Cross-Origin-Opener-Policy
適用可能なプロトコル:
http
状態:
standard
著者/変更管理者:
WHATWG
仕様文書:
この文書は関連仕様である。
関連情報:
なし。

17.10 `Cross-Origin-Opener-Policy-Report-Only`

この節は、Permanent Message Header Field Registryに登録するためのヘッダーを説明する。[RFC3864]

ヘッダーフィールド名:
Cross-Origin-Opener-Policy-Report-Only
適用可能なプロトコル:
http
状態:
standard
著者/変更管理者:
WHATWG
仕様文書:
この文書は関連仕様である。
関連情報:
なし。

17.11 `Origin-Agent-Cluster`

この節は、Permanent Message Header Field Registryに登録するためのヘッダーを説明する。[RFC3864]

ヘッダーフィールド名:
Origin-Agent-Cluster
適用可能なプロトコル:
http
状態:
standard
著者/変更管理者:
WHATWG
仕様文書:
この文書は関連仕様である。
関連情報:
なし。

17.12 `Ping-From`

この節は、Permanent Message Header Field Registryに登録するためのヘッダーを説明する。[RFC3864]

ヘッダーフィールド名:
Ping-From
適用可能なプロトコル:
http
状態:
standard
著者/変更管理者:
W3C
仕様文書:
この文書は関連仕様である。
関連情報:
なし。

17.13 `Ping-To`

この節は、Permanent Message Header Field Registryに登録するためのヘッダーを説明する。[RFC3864]

ヘッダーフィールド名:
Ping-To
適用可能なプロトコル:
http
状態:
standard
著者/変更管理者:
W3C
仕様文書:
この文書は関連仕様である。
関連情報:
なし。

17.14 `Refresh`

この節は、Permanent Message Header Field Registryに登録するためのヘッダーを説明する。[RFC3864]

ヘッダーフィールド名:
リフレッシュ
適用可能なプロトコル:
http
状態:
standard
著者/変更管理者:
WHATWG
仕様文書:
この文書は関連仕様である。
関連情報:
なし。

17.15 `Last-Event-ID`

この節は、Permanent Message Header Field Registryに登録するためのヘッダーを説明する。[RFC3864]

ヘッダーフィールド名:
Last-Event-ID
適用可能なプロトコル:
http
状態:
standard
著者/変更管理者:
W3C
仕様文書:
この文書は関連仕様である。
関連情報:
なし。

17.16 `X-Frame-Options`

この節は、Permanent Message Header Field Registryに登録するためのヘッダーを説明する。[RFC3864]

ヘッダーフィールド名:
X-Frame-Options
適用可能なプロトコル:
http
状態:
standard
著者/変更管理者:
WHATWG
仕様文書:
この文書は関連仕様である。
関連情報:
なし。

17.17 web+スキームプレフィックス

このセクションは、IANAのURIスキームレジストリーで使用するための規則を説明する。これ自体は特定のスキームを登録しない。[RFC7595]

スキーム名:
スキームは、4文字"web+"で始まり、その後にa-z範囲内の1つ以上の文字が続く。
状態:
Permanent
スキーム構文:
スキーム固有。
スキームセマンティックス:
スキーム固有。
エンコーディングの考慮:
すべての"web+"スキームは、UTF-8エンコーディングが関連したように使用すべきである。
このスキーム名を使用するアプリケーション/プロトコル:
スキーム固有。
相互運用性の考慮:
スキームは、ウェブアプリケーションのコンテキストで使用されることが期待される。
セキュリティの考慮:
任意のウェブページは、すべての"web+"スキームに対するハンドラーを登録できる。As such, these schemes must not be used for features intended to be core platform features (e.g., HTTP). 同様に、このようなスキームは、ユーザー名、パスワード、個人情報、または機密プロジェクト名として、そのURLに機密情報を格納してはならない。
連絡先:
Ian Hickson <ian@hixie.ch>
変更管理者:
Ian Hickson <ian@hixie.ch>
参考文献:
Custom scheme handlers, HTML Living Standard: https://html.spec.whatwg.org/#custom-handlers