HTML — IANA 考慮点

17. ~IANA考慮点

17.1. `text/html^mt

この登録は、 ~community考査~用にあり,~IANAでの[ 考査, 認可, 登録 ]用に~IESGに提出されることになる。 ◎ This registration is for community review and will be submitted to the IESG for review, approval, and registration with IANA.

`型名^lbl
`text^mt
`下位型名^lbl
`html^mt
`要param^lbl
要求される~parameterは無い ◎ No required parameters
`任意param^lbl
`charset^c
[ 文書~内の[ ~BOM( `Byte Order Mark^en )以外の`文字~符号化法~宣言$ ]を上書きする文書の`符号化法$doc ]を指定するためとして、 この~parameterが供されてもヨイ。 ~parameterの値は、 `~ASCII大小無視$で文字列 `utf-8^l に合致しなければナラナイ。 `ENCODING$r ◎ The charset parameter may be provided to specify the document's character encoding, overriding any character encoding declarations in the document other than a Byte Order Mark (BOM). The parameter's value must be an ASCII case-insensitive match for the string "utf-8". [ENCODING]
`符号化考^lbl
8bit (§ `文字~符号化法~宣言$を見よ) ◎ 8bit (see the section on character encoding declarations)
`security考^lbl

【!Entire novels】 ~HTML文書に適用される~security考慮点についての多くは、 この仕様【!文書】内に挙げられており, 読者は詳細を~~参照できる。 しかしながら、 ここに言及するに~~価する,一般的な懸念もある: ◎ Entire novels have been written about the security considerations that apply to HTML documents. Many are listed in this document, to which the reader is referred for more details. Some general concerns bear mentioning here, however:

~HTMLは,~script可能な言語であり、 数多くの~APIを備える (うち一部は、 この文書~内に述べられる)。 ~scriptは、[ 情報~漏洩e, 資格証の漏洩e, ~XSS攻撃, ~CSRF, その他の問題の宿主 ]を成し得る~riskを利用者に公開し得る。 この仕様における各種~設計は,正しく実装されれば安全になるものと意図されているが、 全部的な実装は膨大な事業であり、 他の~softwareと同じく,~UAには~security~bugがある見込みが高い。 ◎ HTML is scripted language, and has a large number of APIs (some of which are described in this document). Script can expose the user to potential risks of information leakage, credential leakage, cross-site scripting attacks, cross-site request forgeries, and a host of other problems. While the designs in this specification are intended to be safe if implemented correctly, a full implementation is a massive undertaking and, as with any software, user agents are likely to have security bugs.

~scriptingを伴わないときでも、 ~HTMLには特有な特能がある — それは,歴史的な理由から旧来の内容と広く互換性を得るために要求されるが、 あいにく,~security問題も利用者に公開する。 特に, `img$e 要素は、 一部の他の特能との併用で, ~Internetにおける利用者の所在から~portを~scanする効果を及ぼす仕方として利用され得る。 これは、 攻撃者が他では決定-不能な,局所的な~network~topologyを公開し得る。 【参考:対策として、~fetch~metadata要請~headerが策定されている。】 ◎ Even without scripting, there are specific features in HTML which, for historical reasons, are required for broad compatibility with legacy content but that expose the user to unfortunate security problems. In particular, the img element can be used in conjunction with some other features as a way to effect a port scan from the user's location on the Internet. This can expose local network topologies that the attacker would otherwise not be able to determine.

~HTMLは、 `同一-生成元~施策^i としても知られる, “個室~化” ~schemeに依拠する。 ほとんどの事例では、 `生成元$は[ 同じ~hostから,同じ~port上で,同じ~protocolを利用して ]~serveされるすべての~pageからなる。 ◎ HTML relies on a compartmentalization scheme sometimes known as the same-origin policy. An origin in most cases consists of all the pages served from the same host, on the same port, using the same protocol.

したがって,[ ある~siteの一部を形成する信用されない内容は、 その~site上の他の敏感な内容とは異なる`生成元$で~hostされる ]ことを確保することが~~不可欠である。 信用されない内容は、[ 同一-生成元に属する他の~pageを偽装する/ 同一-生成元からの~dataを読取る/ 同一-生成元に属する~scriptを実行する/ ~formを同一-生成元[ へ/から ]提出する ]ことが — それらが一意な~tokenにより~CSRF攻撃から保護されていても — 容易にでき,[ その生成元に公開された第三者-主体~資源/ その生成元に是認された権利 ](順不同)を用立てることができる。 ◎ It is critical, therefore, to ensure that any untrusted content that forms part of a site be hosted on a different origin than any sensitive content on that site. Untrusted content can easily spoof any other page on the same origin, read data from that origin, cause scripts in that origin to execute, submit forms to and from that origin even if they are protected from cross-site request forgery attacks by unique tokens, and make use of any third-party resources exposed to or rights granted to that origin.

`相互運用考^lbl
内容の処理~規則は、 適合しないものも含め,この仕様~内に定義される。 ◎ Rules for processing both conforming and non-conforming content are defined in this specification.
`公表仕様^lbl
この文書が,関連な仕様である。 資源に `text/html$mt 型を~labelすることは、 当の資源は[ `~HTML構文$を利用している`~HTML文書$ ]であるものと表明する。 ◎ This document is the relevant specification. Labeling a resource with the text/html type asserts that the resource is an HTML document using the HTML syntax.
`MIME応用^lbl
~web~browser/ ~web内容を処理する~tool/ ~HTML著作~tool/ 探索~engine/ 検証器 ◎ Web browsers, tools for processing web content, HTML authoring tools, search engines, validators.
`追加情報^lbl
`magicNum^lbl
~HTML文書を一意に識別し得る~byte列は無い。 ~HTML文書の検出-法についての更なる情報は、 `MIME Sniffing^cite `MIMESNIFF$r を見よ。 ◎ No sequence of bytes can uniquely identify an HTML document. More information on detecting HTML documents is available in MIME Sniffing. [MIMESNIFF]
`拡張子^lbl
[ `html^l / `htm^l ]は、 ~HTML文書~用の拡張子として共通的に利用されるが, 間違いなく他のものにも利用されている。 ◎ "html" and "htm" are commonly, but certainly not exclusively, used as the extension for HTML documents.
`MCcode^lbl
`TEXT^c
`連絡mail^lbl
~IanHickson
`意図用法^lbl
共通 ◎ Common
`用法制約^lbl
適用される制約は無い。 ◎ No restrictions apply.
`著作者^lbl
~IanHickson
`制御者^lbl
W3C

`text/html$mt 資源と伴に利用される`素片$urlは、 対応する`文書$内の`指示された~~部位$を指すこともあれば, ~page内の~script用に状態~情報を供することもある。 ◎ Fragments used with text/html resources either refer to the indicated part of the corresponding Document, or provide state information for in-page scripts.

17.2. `multipart/x-mixed-replace^mt

この登録は、 ~community考査~用にあり,~IANAでの[ 考査, 認可, 登録 ]用に~IESGに提出されることになる。 ◎ This registration is for community review and will be submitted to the IESG for review, approval, and registration with IANA.

`型名^lbl
`multipart^mt
`下位型名^lbl
`x-mixed-replace^mt
`要param^lbl
  • `boundary^c ( RFC2046 にて定義される) `RFC2046$r
◎ boundary (defined in RFC2046) [RFC2046]
`任意param^lbl
省略可能な~parameterは無い。 ◎ No optional parameters.
`符号化考^lbl
~binary ◎ binary
`security考^lbl
下位資源を成す `multipart/x-mixed-replace$mt 資源は、 どの型にもなり得る — `text/html$mt などの 自明でない~security含意を伴う型も含め。 ◎ Subresources of a multipart/x-mixed-replace resource can be of any type, including types with non-trivial security implications such as text/html.
`相互運用考^lbl
ナシ。 ◎ None.
`公表仕様^lbl
この仕様は、 ~web~browser用の処理~規則を述べる。 この型を伴う資源を生成するときの適合性~要件は、 `multipart/mixed$mt 用のそれと同じである。 `RFC2046$r ◎ This specification describes processing rules for web browsers. Conformance requirements for generating resources with this type are the same as for multipart/mixed. [RFC2046]
`MIME応用^lbl
この型は、[ ~web~serverにより,~web~browserによる消費~用に生成された資源 ]に利用されることが意図される。 ◎ This type is intended to be used in resources generated by web servers, for consumption by web browsers.
`追加情報^lbl
`magicNum^lbl
`multipart/x-mixed-replace$mt 資源を一意に識別し得る~byte列は無い。 ◎ No sequence of bytes can uniquely identify a multipart/x-mixed-replace resource.
`拡張子^lbl
この型に特有な,推奨される~file拡張子は無い。 ◎ No specific file extensions are recommended for this type.
`MCcode^lbl
この型~用に推奨される特定の~Macintosh~file型~codeは無い。 ◎ No specific Macintosh file type codes are recommended for this type.
`連絡mail^lbl
~IanHickson
`意図用法^lbl
共通 ◎ Common
`用法制約^lbl
適用される制約は無い。 ◎ No restrictions apply.
`著作者^lbl
~IanHickson
`制御者^lbl
W3C

`multipart/x-mixed-replace$mt 資源と伴に利用される`素片$urlは、 資源を成す各 本体~部分に対し適用される — 本体~部分に利用された型により定義されるとおりに。 ◎ Fragments used with multipart/x-mixed-replace resources apply to each body part as defined by the type used by that body part.

17.3. `application/xhtml+xml^mt

この登録は、 ~community考査~用にあり,~IANAでの[ 考査, 認可, 登録 ]用に~IESGに提出されることになる。 ◎ This registration is for community review and will be submitted to the IESG for review, approval, and registration with IANA.

`型名^lbl
`application^mt
`下位型名^lbl
`xhtml+xml^mt
`要param^lbl
`application/xml$mt 用のそれと同じ `RFC7303$r ◎ Same as for application/xml [RFC7303]
`任意param^lbl
`application/xml$mt 用のそれと同じ `RFC7303$r ◎ Same as for application/xml [RFC7303]
`符号化考^lbl
`application/xml$mt 用のそれと同じ `RFC7303$r ◎ Same as for application/xml [RFC7303]
`security考^lbl
`application/xml$mt 用のそれと同じ `RFC7303$r ◎ Same as for application/xml [RFC7303]
`相互運用考^lbl
`application/xml$mt 用のそれと同じ `RFC7303$r ◎ Same as for application/xml [RFC7303]
`公表仕様^lbl
資源に `application/xhtml+xml$mt 型を~labelすることは、 当の資源は[ `~HTML名前空間$に属する`文書~要素$を有すると見込まれる~XML文書 ]であるものと表明する。 したがって,関連な仕様は、[ `XML^cite `XML$r, `Namespaces in XML^cite `XMLNS$r, この仕様 ]である。 ◎ Labeling a resource with the application/xhtml+xml type asserts that the resource is an XML document that likely has a document element from the HTML namespace. Thus, the relevant specifications are XML, Namespaces in XML, and this specification. [XML] [XMLNS]
`MIME応用^lbl
`application/xml$mt 用のそれと同じ `RFC7303$r ◎ Same as for application/xml [RFC7303]
`追加情報^lbl
`magicNum^lbl
`application/xml$mt 用のそれと同じ `RFC7303$r ◎ Same as for application/xml [RFC7303]
`拡張子^lbl
[ `xhtml^l / `xht^l ]は、[ `~HTML名前空間$に属する`文書~要素$を有する~XML資源 ]用の拡張子として利用されることもある。 ◎ "xhtml" and "xht" are sometimes used as extensions for XML resources that have a document element from the HTML namespace.
`MCcode^lbl
`TEXT^c
`連絡mail^lbl
~IanHickson
`意図用法^lbl
共通 ◎ Common
`用法制約^lbl
適用される制約は無い。 ◎ No restrictions apply.
`著作者^lbl
~IanHickson
`制御者^lbl
W3C

`application/xhtml+xml$mt 資源と伴に利用される`素片$urlの意味論は、 他の`~XML~MIME型$と同じである。 `RFC7303$r ◎ Fragments used with application/xhtml+xml resources have the same semantics as with any XML MIME type. [RFC7303]

17.4. `text/ping^mt

この登録は、 ~community考査~用にあり,~IANAでの[ 考査, 認可, 登録 ]用に~IESGに提出されることになる。 ◎ This registration is for community review and will be submitted to the IESG for review, approval, and registration with IANA.

`型名^lbl
`text^mt
`下位型名^lbl
`ping^mt
`要param^lbl
~parameterなし ◎ No parameters
`任意param^lbl
`charset^c
この~parameterは、 供されてもヨイ — その値は `utf-8^l でなければナラナイ。 この~parameterには、 ~serveする目的は無い — これが許容されるのは、 旧来の~serverとの互換性を得るために限られる。 ◎ The charset parameter may be provided. The parameter's value must be "utf-8". This parameter serves no purpose; it is only allowed for compatibility with legacy servers.
`符号化考^lbl
適用-可能でない。 ◎ Not applicable.
`security考^lbl
`~hyperlink聴取$の文脈にて述べられる流儀で,排他的に利用される場合、 この型が導入する新たな~security上の懸念は無い。 ◎ If used exclusively in the fashion described in the context of hyperlink auditing, this type introduces no new security concerns.
`相互運用考^lbl
この型に適用-可能な規則は、 この仕様にて定義される。 ◎ Rules applicable to this type are defined in this specification.
`公表仕様^lbl
この文書が、 関連な仕様である。 ◎ This document is the relevant specification.
`MIME応用^lbl
~web~browser。 ◎ Web browsers.
`追加情報^lbl
`magicNum^lbl
`text/ping$mt 資源~用のそれは、 常に次の~byte列( `PING^bl )からなる ⇒ `50^X `49^X `4E^X `47^X ◎ text/ping resources always consist of the four bytes 0x50 0x49 0x4E 0x47 (`PING`).
`拡張子^lbl
この型~用に推奨される特定の~file拡張子は無い。 ◎ No specific file extension is recommended for this type.
`MCcode^lbl
この型~用に推奨される特定の~Macintosh~file型~codeは無い。 ◎ No specific Macintosh file type codes are recommended for this type.
`連絡mail^lbl
~IanHickson
`意図用法^lbl
共通 ◎ Common
`用法制約^lbl
意図される用途は、[ ~web~browserによる `ping$a 属性の処理の一部として生成される,~HTTP~POST要請 ]に限られる。 ◎ Only intended for use with HTTP POST requests generated as part of a web browser's processing of the ping attribute.
`著作者^lbl
~IanHickson
`制御者^lbl
W3C

`text/ping$mt 資源においては、 `素片$urlには意味は無い。 ◎ Fragments have no meaning with text/ping resources.

17.5. `application/microdata+json^mt

この登録は、 ~community考査~用にあり,~IANAでの[ 考査, 認可, 登録 ]用に~IESGに提出されることになる。 ◎ This registration is for community review and will be submitted to the IESG for review, approval, and registration with IANA.

`型名^lbl
`application^mt
`下位型名^lbl
`microdata+json^mt
`要param^lbl
`application/json$mt 用のそれと同じ `JSON$r ◎ Same as for application/json [JSON]
`任意param^lbl
`application/json$mt 用のそれと同じ `JSON$r ◎ Same as for application/json [JSON]
`符号化考^lbl
8bit (常に ~UTF-8) ◎ 8bit (always UTF-8)
`security考^lbl
`application/json$mt 用のそれと同じ `JSON$r ◎ Same as for application/json [JSON]
`相互運用考^lbl
`application/json$mt 用のそれと同じ `JSON$r ◎ Same as for application/json [JSON]
`公表仕様^lbl

資源に `application/microdata+json$mt 型を~labelすることは、 当の資源は,次のような~JSON~textであることを表明する ⇒ 1 個の `object^jT からなる ⇒ この `object^jT は、[ `items^l と称される `array^jT を値にとる~entry ]を伴う ⇒ この `array^jT を成す各~entryは、 `object^jT であって,次に挙げる~entryを伴う: ◎ Labeling a resource with the application/microdata+json type asserts that the resource is a JSON text that consists of an object with a single entry called "items" consisting of an array of entries, each of which consists of\

  • `id^l と称され, `string^jT を値にとる~entry ◎ an object with an entry called "id" whose value is a string,\
  • `type^l と称され,別の `string^jT を値にとる~entry ◎ an entry called "type" whose value is another string,\
  • `properties^l と称され, `object^jT を値にとる~entry ⇒ この `object^jT は、 0 個~以上の[ 次に挙げるいずれかを値にとる~entry ]からなる:

    • 0 個~以上の `string^jT からなる `array^jT
    • 0 個~以上の `object^jT からなる `array^jT
    • 上に言及した `items^l ~entryと同じ形をとる, `object^jT
    ◎ and an entry called "properties" whose value is an object whose entries each have a value consisting of an array of either objects or strings,\ ◎ the objects being of the same form as the objects in the aforementioned "items" entry.\

したがって,関連な仕様は、 `JSON^cite `JSON$r, およびこの仕様である。 ◎ Thus, the relevant specifications are JSON and this specification. [JSON]

`MIME応用^lbl

首な応用~classは、[ ~HTMLの~microdata特能と伴に利用するために意図される~data ]を — とりわけ,~drag-and-dropの文脈において — 転送する応用である。 ◎ Applications that transfer data intended for use with HTML's microdata feature, especially in the context of drag-and-drop, are the primary application class for this type.

`追加情報^lbl
`magicNum^lbl
`application/json$mt 用のそれと同じ `JSON$r ◎ Same as for application/json [JSON]
`拡張子^lbl
`application/json$mt 用のそれと同じ `JSON$r ◎ Same as for application/json [JSON]
`MCcode^lbl
`application/json$mt 用のそれと同じ `JSON$r ◎ Same as for application/json [JSON]
`連絡mail^lbl
~IanHickson
`意図用法^lbl
共通 ◎ Common
`用法制約^lbl
適用される制約は無い。 ◎ No restrictions apply.
`著作者^lbl
~IanHickson
`制御者^lbl
W3C

`application/microdata+json$mt 資源と伴に利用される`素片$urlの意味論は、 `application/json$mt と伴に利用されるときと同じである (すなわち、 これを書いた時点では,意味論はまったく無い)。 `JSON$r ◎ Fragments used with application/microdata+json resources have the same semantics as when used with application/json (namely, at the time of writing, no semantics at all). [JSON]

17.6. `text/event-stream^mt

この登録は、 ~community考査~用にあり,~IANAでの[ 考査, 認可, 登録 ]用に~IESGに提出されることになる。 ◎ This registration is for community review and will be submitted to the IESG for review, approval, and registration with IANA.

`型名^lbl
`text^mt
`下位型名^lbl
`event-stream^mt
`要param^lbl
~parameterなし ◎ No parameters
`任意param^lbl
`charset^c
この~parameterは、 供されてもヨイ — その値は `utf-8^l でなければナラナイ。 この~parameterには、 ~serveする目的は無い — それが許容されるのは、 旧来の~serverとの互換性を得るために限られる。 ◎ The charset parameter may be provided. The parameter's value must be "utf-8". This parameter serves no purpose; it is only allowed for compatibility with legacy servers.
`符号化考^lbl
8bit (常に ~UTF-8) ◎ 8bit (always UTF-8)
`security考^lbl

~event~streamを消費している内容が属する生成元とは別個な生成元からの~event~streamは、 情報~漏洩eに~~繋がり得る。 これを避けるため、 ~UAには,~CORS意味論を適用することが要求される。 `FETCH$r ◎ An event stream from an origin distinct from the origin of the content consuming the event stream can result in information leakage. To avoid this, user agents are required to apply CORS semantics. [FETCH]

~event~streamは、 ~UAを圧倒し得る。 ~UAには、[ ~event~streamからの過剰な情報による局所-資源の枯渇 ]を避けるため,相応しい制約を適用することが期待される。 ◎ Event streams can overwhelm a user agent; a user agent is expected to apply suitable restrictions to avoid depleting local resources because of an overabundance of information from an event stream.

[ ~serverが,~clientに ひっきりなしに再接続させる ]ような状況に~~進展した場合、 ~serverは圧倒され得る。 ~serverは、 状態s~code `5xx^st を利用して,受容限度の問題を指示するベキである — これは、 適合~clientが自動的に再接続するのを防止することになるので。 ◎ Servers can be overwhelmed if a situation develops in which the server is causing clients to reconnect rapidly. Servers should use a 5xx status code to indicate capacity problems, as this will prevent conforming clients from reconnecting automatically.

`相互運用考^lbl
内容の処理~規則は、 適合しないものも含め,この仕様~内に定義される。 ◎ Rules for processing both conforming and non-conforming content are defined in this specification.
`公表仕様^lbl
この文書が、 関連な仕様である。 ◎ This document is the relevant specification.
`MIME応用^lbl
~web~browser/ ~web~serviceを利用している~tool。 ◎ Web browsers and tools using web services.
`追加情報^lbl
`magicNum^lbl
~event~streamを一意に識別し得る~byte列は無い。 ◎ No sequence of bytes can uniquely identify an event stream.
`拡張子^lbl
この型に特有な,推奨される~file拡張子は無い。 ◎ No specific file extensions are recommended for this type.
`MCcode^lbl
この型~用に推奨される特定の~Macintosh~file型~codeは無い。 ◎ No specific Macintosh file type codes are recommended for this type.
`連絡mail^lbl
~IanHickson
`意図用法^lbl
共通 ◎ Common
`用法制約^lbl
この形式に期待される利用は、[ ~HTTPあるいは類似な~protocolを利用して~serveされる動的な~~際限ない~stream ]に限られる。 有限な資源は、 この型で~labelされるものとは期待されない。 ◎ This format is only expected to be used by dynamic open-ended streams served using HTTP or a similar protocol. Finite resources are not expected to be labeled with this type.
`著作者^lbl
~IanHickson
`制御者^lbl
W3C

`text/event-stream$mt 資源においては、 `素片$urlには意味は無い。 ◎ Fragments have no meaning with text/event-stream resources.

17.7. `web+^c ~scheme接頭辞

この節は、 ~IANA~URI~scheme~registryで利用するための規約 `RFC7595$r を述べる。 この節~自体は、 特定の~schemeを登録するものではない。 ◎ This section describes a convention for use with the IANA URI scheme registry. It does not itself register a specific scheme. [RFC7595]

~scheme名 ◎ Scheme name:
次の順の並びから開始する~scheme ⇒# 4 個の文字 `web+^l, 範囲 { `a^c 〜 `z^c } に入る 1 個~以上の~~英字 ◎ Schemes starting with the four characters "web+" followed by one or more letters in the range a-z.
`位置付け^lbl
恒久的 ◎ Permanent
~scheme構文 ◎ Scheme syntax:
~schemeに特有。 ◎ Scheme-specific.
~scheme意味論 ◎ Scheme semantics:
~schemeに特有。 ◎ Scheme-specific.
`符号化考^lbl
すべての `web+^l ~schemeは、 関連な所では,~UTF-8符号化法を利用するベキである。 ◎ All "web+" schemes should use UTF-8 encodings where relevant.
この~scheme名を利用する応用/~protocol ◎ Applications/protocols that use this scheme name:
~schemeに特有。 ◎ Scheme-specific.
`相互運用考^lbl
この~schemeは、 ~web~appの文脈にて利用されることが期待される。 ◎ The scheme is expected to be used in the context of web applications.
`security考^lbl
どの~web~pageも,どの `web+^l ~scheme用にも~handlerを登録-可能である。 そのようなわけで、 これらの~schemeは, ~platformの中核を成すものと意図される特能(例:~HTTP)用に利用されてはナラナイ。 同様に,そのような~schemeを伴う~URL内には、 機密的な情報 — ~username/~password/個人~情報/機密的な~project名,など — が格納されてはナラナイ ◎ Any web page is able to register a handler for all "web+" schemes. As such, these schemes must not be used for features intended to be core platform features (e.g., HTTP). Similarly, such schemes must not store confidential information in their URLs, such as usernames, passwords, personal information, or confidential project names.
連絡先 ◎ Contact:
~IanHickson
`制御者^lbl
~IanHickson
参照 ◎ References:
HTML Living Standard: `~custom~scheme~handler$ ◎ Custom scheme handlers, HTML Living Standard: https://html.spec.whatwg.org/#custom-handlers