Hatena::ブログ(Diary)

こども(てれび)

2010-09-16

[]ユーザページでjavascriptを書けることについて 17:16

scrapiでは「カスタマイズ」ページから自分サイトHTMLを自由に編集する事ができます。javascriptflashでも制限なく書けます。それはセキュリティ大丈夫なのか、という話。

ログインや記事の編集などは www.scrapi.jp ドメイン上で行うようになっています。cookieドメインwww.scrapi.jpで保持しています。ユーザページは [ユーザ名].scrapi.jp ドメインになっていて、カスタマイズしたHTMLはここで表示されます。そのため、ユーザページからは閲覧者の認証情報は得られません。右下にお気に入りなどのメニューが出るのですが、これは www.scrapi.jp ドメインのページを iframe で表示しているので、ユーザページのHTMLに書かれたjavascriptからは参照できません。

以上のことから、ユーザ自分のページでjavascriptを書けても問題がないと判断しています。ただ、www.scrapi.jpに対してセキュリティ上の危険がないにしても、通常のHTMLと同じだけの危険はあります。具体的な例で言うと、hamachiya2.scrapi.jpアクセスすることは hamachiya.com にアクセスするのと同じくらいの危険性があります。これにたいして手を打つべきかどうかはちょっとわからないので考えておきます。

ここに書かれた内容について、誤りの指摘やご意見などありましたらコメントなどいただけると助かります。

トラックバック - http://d.hatena.ne.jp/wanpark/20100916/1284624966