水無月ばけらのえび日記

クロスドメインの疑似ダイアログにログインフォーム

公開: 2024年5月9日15時30分頃

「新はてなブックマークの登録ブックマークレットは使ってはいけない (takagi-hiromitsu.jp)」。クロスドメインで疑似ダイアログが表示され、その中にログインフォームが現れるというお話。

※高木さんは「ページ内JavaScriptウィンドウ」と呼ばれていますが、うちの社内では「疑似ダイアログ」(略して「疑似ダイ」) で通っていますね。実装がJavaScriptかどうかという点は本質ではありませんし、ここではとりあえず「疑似ダイアログ」と呼んでおきます。

疑似ダイアログにはアドレスバーも何もありませんし、クロスドメインで表示されているのかどうかを利用者が知る手段はありません。あくまで、ブラウザのアドレスバーのみを信用するようにして利用しないと駄目ということですね。

逆に、疑似ダイアログを使ったインターフェイスを設計する際には、こういう形でログインさせることがないように注意する必要があるでしょう。もっとも、クロスドメインで疑似ダイアログを出すということ自体が例外的ではあろうと思いますが……。

• 「クロスドメインの疑似ダイアログにログインフォーム」にコメントを書く

関連する話題: Web / セキュリティ