早くも壁にぶち当たった・・・クリックジャッキングと「X-Frame-Options」
昨日はこんな記事を書きました。
同一ページ内で色々出来るようにしようと思ったんだけど、
UI(ユーザーインターフェイス)無しで試験的に作ってみたんですけど、
外部からは見れないと・・・
調べてみるとクリックジャッキングという手法で、既存ページに別のページをかぶせて悪さをしてしまうみたいな悪質なクラッキング手法があるみたいで、その対策で外部サイトから呼び出して埋め込むのを禁止する「X-Frame-Options」というのがあるみたいで、それをしているんじゃないか?と思ったんです。
たしかに、使い方によっては悪意のある使い方も出来てしまうから、そりゃ禁止するわな・・・ということで、昨日まで考えていた内容だとスムーズにいかなそうだったので方針を変えようと思います。
自分のところでやるのがダメなら逆転の発想で、相手の都合の良いようにやってあげれば良いんだろってことで拡張機能にして、こんな感じで表示させたらどうだろうか・・・
既にありそうなんだけど・・・
ブログ特化系の拡張機能は無いのかな・・・
とりあえず、タイムアップということで今日はここまでかな。
続きはまた後ほど。。。