No.2ベストアンサー
- 回答日時:
>操作は出来なくとも取得はできてもよい
>ような気がしますが・・
URLが取得できれば、操作(URLを開く)は簡単です。
-----------------------------------------------------------
>iframeのURLを取得しても悪用する手立てが
>いまいちよくわかりません(^^;
WEBの仕組みを熟知していないと難しい内容です。
私自身もそれほど詳しい訳ではないので、
説明が難しいのですが・・・(^^;
-----------------------------------------------------------
簡単な例を挙げてみます。
説明に使う用語は、下記の「原理」を見て下さい。
http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD% …
例えば、Aさんがmixiの会員で、自動ログインを利用していたとします。
Aさんが、攻撃者のWEBぺージを開いてしまった。
攻撃者のWEBページではiframeがあり、そこでmixiを開く。
(このiframeは気づかれない様に隠してある)
mixi側は、Aさんがアクセスしてきたので、自動ログインの処理をし、
Aさんのマイページを開きます。
例えば、マイページの「プロフィール確認」と言うリンクのURLは
下記の様にになっています。
https://mixi.jp/show_profile.pl?id=*******
URLの最後に、idの情報が付加されています。
このURLが攻撃者のWEBサイトで取得できれば、
AさんのIDが攻撃者に知られます。
-----------------------------------------------------------
iframeを仕掛けているのは攻撃者ですが、
開いているのは、Aさんのブラウザです。
Cookieは、Aさんの物が使われます。
mixi側は、AさんのCookieを利用し、
Aさんの個人情報を返してしまうのです。
mixiでは、過去に騒動があったので、
現在は何らかの対策がしてあると思いますが、
危機管理の甘いサイトなら、今でも簡単に
個人情報が返ってくるかも知れません。
上記の例は簡単な例ですが、頭のいい人ならもっとすごい
利用(悪用)方法を思いつくでしょう。
-----------------------------------------------------------
Aさんが開いた、攻撃者のWEBページ内のiframeで、
mixiのページが表示されていたとします。
この情報は、Aさんとmixiの間のやり取りなので、
他者(攻撃者)には一切知られない方が良いのです。
(知らせる必要がないですし)
つまり、別ドメインの情報は取得出来ない、
そういう方向で、ブラウザは作られていると思います。
もし、何らかの方法で取得できたとしても、
それはセキュリティホールになるので、
そのうち埋められると思います。
-----------------------------------------------------------
うまく説明出来たか分かりませんが、
私もこれ以上は説明できませんので、悪しからず。(^^;
hfodfpow9さんがそのURLを何に利用したいのか?
説明がないので、見えてきませんね。
(推測ですが、自分自身で利用するページでしょうか?)
もう少し具体的に何がしたいのかを説明して頂ければ、
別の解決方法が見付かるかも知れませんよ。
(その場合は、新規の質問の方が良いかな・・・)
度々の回答ありがとうございます。URLは想像以上に様々な情報を
含んでいるのですね。悪用する仕組みがよくわかりました(^^;
私がやりたいと思ったことは、iframe内でyoutubeやニコニコ動画など
を表示させてiframe外に動画をダウンロードできるボタンを設置するという
感じのものです。動画のURLさえ取得できれば完成するのですが。
No.1
- 回答日時:
>iframe内で表示されてるサイトのドメインが一致しない限り、javascript
>では取得できないのはなぜですか?取得されると何か困ることがあるので
>しょうか?
残念ながら、世の中には悪いことを考える人がいまして、
下記のような不正行為に、利用される恐れがあります。
XSS(クロスサイトスクリプティング)
http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD% …
CSRF(クロスサイトリクエストフォージェリ)
http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD% …
iframeに直接関係している訳ではないですが、
iframeで別ドメインの情報が自由に操作できれば、
上記の様な不正行為がとても簡単になり、非常に危険です。
-----------------------------------------------------------
>またjavascript以外なら何らかの方法で取得することは可能なのでしょうか?
セキュリティ上の理由で、その他の方法でも難しいと思います。
回答ありがとうございます。iframeのURLを取得しても悪用する手立てが
いまいちよくわかりません(^^; 操作は出来なくとも取得はできてもよい
ような気がしますが・・
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- JavaScript Javascript初心者|jQueryの.val()で値を取得し複数の要素を連結させる方法知りたい 2 2022/06/02 12:06
- JavaScript javascriptで変数を組み込みたい 2 2023/01/13 09:52
- HTML・CSS 自身のHPにYouTube動画を貼り付けるのが出来なくなり困ってます 1 2022/11/11 10:44
- HTML・CSS 別サイトのHTML内にある情報を自動取得して、自分のサイトに組込む方法を教えてください。 例えば、Y 1 2023/06/15 08:09
- PHP PHPを使って、別サイトの一部を取得して表示したいのです。。 1 2023/01/18 21:45
- SEO WP内の検索で403エラーが出される問題について 1 2022/11/26 08:46
- オープンソース AWSドメイン名でApacheテスト・ページを表示させる方法を教えて下さい。 1 2023/04/26 15:59
- Chrome(クローム) google earth PROをクリックすると下記の表示がされPROが開きません 2 2022/07/28 10:25
- Excel(エクセル) VBA : スクレイピングできない 4 2023/05/12 22:26
- ドメイン・サーバー・クラウドサービス ロリポップで取得したドメイン、【○○○.jellybean.jp】をwho is検索すると、ドメイン 2 2022/08/13 21:48
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
VBAでActiveDirectoryのユーザ...
-
ListView 項目の選択/選択解除...
-
VB.NETで DataRow()を利用して...
-
count(*)で取得した値をJAVAの...
-
VBA:小数点以下の数字を取得で...
-
Flexgridで選択行の列の値を取...
-
データ数をカウントしたいのですが
-
ディスプレイの表示可能な解像...
-
COMポート 名前を取得する方法
-
JavaScriptでWindowsログオンID...
-
like演算子内に変数って使えな...
-
C言語におけるコンピュータ名・...
-
年月日時分秒の変数を教えて下さい
-
Yahoo! JAPANのID取得について
-
getParameter と getAttribut...
-
アクセスしてきたコンピュータ...
-
エクセルVBAで複数選択できるよ...
-
URIでのページの移動について
-
Active directoryの全グループ取得
-
NTPサーバから時刻を取得する
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
VBAでActiveDirectoryのユーザ...
-
VB.NETで DataRow()を利用して...
-
ListView 項目の選択/選択解除...
-
VBA:小数点以下の数字を取得で...
-
count(*)で取得した値をJAVAの...
-
データ数をカウントしたいのですが
-
like演算子内に変数って使えな...
-
ListViewで複数選択された項目...
-
Flexgridで選択行の列の値を取...
-
エクセルVBAで複数選択できるよ...
-
JavaScriptでWindowsログオンID...
-
利用者側のMACアドレスを取得し...
-
郵便番号検索APIにてget Elemen...
-
COMポート 名前を取得する方法
-
コンボボックス表示文字列を取...
-
VBA Shapesの座標からセル位置...
-
Spreadの選択行の取得について
-
VBScriptで数値にコンマを付け...
-
C言語におけるコンピュータ名・...
-
Excel VBA でログインしてい...
おすすめ情報