過去ログ表示


過去ログ 367 を表示

トピック内全 7 記事中の 1 〜 7 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0]

(環境: Win 7/Other)

HTML の form タグの中に a タグを入れるようなリンクがあった場合、
Firefox 8 のウィンドウ左下(または右下)に表示される URL と、
そのリンクをクリックした際に飛ばされる URL が異なることを発見
いたしましたので報告いたします。
( なお、他のブラウザでの挙動は後述いたします。)

記述例( タグの入力ができないため、< と > は全角に変換しております。)

<form action="http://www.facebook.com/"
<a href="http://mozilla.jp/firefox/"
<input src="http://mozilla.jp/static/images/firefox/logos/download/logo-mozilla-wordmark-preview-20110711.png" type="image">
</a>
</form>

上記の一連のタグを含んだ HTML を Firefox 8 で表示させ、
Firefox ロゴの場所にマウスカーソルを持っていくと、画面下部には
http://mozilla.jp/firefox/ という URL が表示されますが、これを
クリックした場合には Facebook のページに飛ばされます。
( つまり、表示されている URL とジャンプ先が異なります。)

この現象により、URL 偽装が可能になるため、アフィリエイト目的で
悪用される危険があると思われます。

なお、他のブラウザでの挙動は下記のようになります。

 Google Chrome
  → 画像へのマウスオーバー時には画面下部に
   mozilla.jp/firefox/ と表示される。
   クリックしたあとのジャンプ先も mozilla.jp/firefox/ になる。

 Internet Explorer 9
  → 画像へのマウスオーバー時には画面下部に
   http://www.facebook.com/ と表示される。
   クリックしたあとのジャンプ先も Facebook のページになる。

なお、Firefox をセーフモードにしたり、アドオンをすべて無効に
しても、この現象が発生いたしました。

ご確認のほど、宜しくお願い致します。

(環境: WinVista/Other)

* Bugzilla メインページ - http://bugzilla.mozilla.gr.jp/

バグ報告しては?

(環境: Win 7/Safari)

> * Bugzilla メインページ - http://bugzilla.mozilla.gr.jp/
>
> バグ報告しては?

了解しました。
Bugzilla-jp の方にも報告いたします。

(環境: WinXP SP3/Other)

> Firefox ロゴの場所にマウスカーソルを持っていくと、画面下部には
> http://mozilla.jp/firefox/ という URL が表示されますが、これを
> クリックした場合には Facebook のページに飛ばされます。
> ( つまり、表示されている URL とジャンプ先が異なります。)

これ自体は bug 6346 ( http://bugzilla.mozilla.gr.jp/show_bug.cgi?id=6346 )の現象で、
ジャンプ先が異なるのではなく、フォームのアクションによるGETなりPOSTと、リンクによるHTTP GETの、両方とも実行される、という現象のはずなんだが...
で、ステータスバーに表示するものと、競争に勝った方が異なると、ジャンプ先が異なるように見える、と。
必ず内側のものが先に実行され、アンロードが発生して外側のものが実行されないように変わったのかな?

> この現象により、URL 偽装が可能になるため、アフィリエイト目的で
> 悪用される危険があると思われます。

bug 6346 の現象が URL 偽装に利用可能、という観点での報告は、bugzilla.mozilla.orgには無かったように思います。セキュリティバグで、検索でヒットしないだけかもしれないですけど。
bugzilla.mozilla.org にバグを開いておくといいでしょう。

(環境: WinXP SP3/Other)

追記

あ、サブミットボタンが無いケースでしたね。
エンターキーだとフォームのサブミット、クリックだとリンク先への移動、というようなHTMLになるが、
例示されたHTMLの場合、ステータスバーには必ずフォームのアクションの方が表示されて、
クリックした場合にはURL偽装と同じことになってしまう、という現象になるんでしょう。
bug 6346(それに関連するB.M.Oのバグ)とは別に、URL偽装という観点での独立したバグで処理するほうがいいでしょうね。

(環境: Win 7/Other)

> 追記
>
> あ、サブミットボタンが無いケースでしたね。
> (snipped)
> URL偽装という観点での独立したバグで処理するほうがいいでしょうね。

ご指摘ありがとうございます。

当方、英語に自身がないので、Bugzilla-jp に独立したバグ(新規バグ)
として報告いたしました。

状況報告
(#55342) このトピック中7番目の投稿
(環境: Win 7/Other)

> 当方、英語に自身がないので、Bugzilla-jp に独立したバグ(新規バグ)
> として報告いたしました。

その後の状況を報告いたします。

Bugzilla-jp の Hideo Oshima 様を経由して、本家 bugzilla.mozilla.org に
報告されました。


このトピックの全ページ / [0]

返信不可


- Child Tree -