水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 他サイトのフレームの中に別サイトを入れる

他サイトのフレームの中に別サイトを入れる

2004年7月1日(木曜日)

他サイトのフレームの中に別サイトを入れる

IEのフレーム内にほかのサイトを表示できるスプーフィング脆弱性 (internet.watch.impress.co.jp)」って……えーと、これは脆弱性……なのかしら。

これはとても単純な話で、たとえば墓場ブラウザー (rryu.sakura.ne.jp)を開いた後に、target="fprog" となっているアンカーを辿れば該当するフレームの中が書き換わる、というだけのことです。フレームを使ったことのある人なら普通に知っていると思いますが……。

※というか、まさに墓場ブラウザーのような使い方を普段から見ているから驚かないのかも。

ちなみに MSIE などでは「異なるドメイン間のサブフレームの移動」を無効にすると回避できます。某銀行のようにもともとフレームの中に他ドメインのサービスをインジェクションしているようなサービスは使えなくなりますが、それは使わない方が良いような気もするので……。

こういう話が出てくると、やはり HTML 仕様でフレームを採用すべきではなかったのかな、とも思いますね。HTML3.0 で提案されていた banner要素のようなものであれば、こういう問題は出てこなかったのでしょうし。

関連する話題: Web / UA / セキュリティ

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト