過去ログ表示


過去ログ 289 を表示

トピック内全 2 記事中の 1 〜 2 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0]

Firefox3 のソース表示機能についての不思議
(#45041) このトピック中1番目の投稿
(環境: Linux/Firefox3.0)

【前置き】
 クリックジャッキングの脆弱性が発表されてから、あらゆる plugin ならびに iframe、frame を Noscript で常時表示しない設定にするのが望ましい、という情報を得たため、iframe、frame を、さらに Web サイトがクラッキングされたときの用心のために object 要素をも DOM を使って削除する GreaseMonkey スクリプトを作成した。
参考:http://blogs.zdnet.com/security/?p=1973
   http://noscript.net/


【現象】
 画面上で範囲選択し、選択した部分のソースを表示すると、スクリプトが対象とする iframe、frame、object の各要素が削除されている。
 しかしコンテキストメニュー、あるいはメニューバーから、ページのソースを表示すると iframe、frame、object は削除されていない。



【質問】
 本当に iframe、frame、object 要素がレンダリングされていないのか。あるいは削除されているのか。


【資料ソースファイル】
functiondeleteElement(elementName)
{
variframeElements = document.getElementsByTagName(elementName);
vari;
if (0<iframeElements.length)
{
for(i=0;i<iframeElements.length;i++)
{
iframeElements.item(i).parentNode.removeChild(iframeElements.item(i));
deleteElement(elementName);
if (0>=iframeElements.length)
{
break;
}
}
}
}
deleteElement('iframe');
deleteElement('frame');
deleteElement('object');

Re[1]: Firefox3 のソース表示機能についての不思議
(#45045) このトピック中2番目の投稿
(環境: WinVista/Minefield)

No45041に返信(絶滅危惧種IA類さんの記事)
>  しかしコンテキストメニュー、あるいはメニューバーから、ページのソースを表示すると iframe、frame、object は削除されていない。

ソースの表示はあくまでソースの表示です。Javascriptで書き換えられたDOMツリーから生成されたものではありません。

選択範囲のソースコードはDOMツリーから生成されています。

ところでclickjackingは話題ばかりが先行していますが、詳細が公開されていないことで不安を煽られているだけでさほど重大な問題ではないのかもしれません。唯一はっきりと情報が流れているのは透明な要素をクリックさせて、という話ですので、どうしても気になる方は以下のようなユーザスタイルシートを書くだけでシンプルに注意することができるんではないかと思います。

:focus, :active, :hover {
outline: red dashed 3px !important;
outline-offset: -3px !important;
color: red !important;
background-image: none !important;
background-color: white !important;
}


このトピックの全ページ / [0]

返信不可


- Child Tree -