2004年7月1日(木曜日)
他サイトのフレームの中に別サイトを入れる
「IEのフレーム内にほかのサイトを表示できるスプーフィング脆弱性 (internet.watch.impress.co.jp)」って……えーと、これは脆弱性……なのかしら。
これはとても単純な話で、たとえば墓場ブラウザー (rryu.sakura.ne.jp)を開いた後に、target="fprog" となっているアンカーを辿れば該当するフレームの中が書き換わる、というだけのことです。フレームを使ったことのある人なら普通に知っていると思いますが……。
※というか、まさに墓場ブラウザーのような使い方を普段から見ているから驚かないのかも。
ちなみに MSIE などでは「異なるドメイン間のサブフレームの移動」を無効にすると回避できます。某銀行のようにもともとフレームの中に他ドメインのサービスをインジェクションしているようなサービスは使えなくなりますが、それは使わない方が良いような気もするので……。
こういう話が出てくると、やはり HTML 仕様でフレームを採用すべきではなかったのかな、とも思いますね。HTML3.0 で提案されていた banner要素のようなものであれば、こういう問題は出てこなかったのでしょうし。
- 「他サイトのフレームの中に別サイトを入れる」へのコメント (9件)
- 前(古い): 2004年6月30日(Wednesday)のえび日記
- 次(新しい): 2004年7月3日(Saturday)のえび日記
