トップレベルウィンドウ上のデータ URL 遷移はブロックされるようになりました

公開日: | カテゴリー: DOM, プライバシー & セキュリティ

概要

小さなデータファイルをウェブページへ埋め込めるようにする data: スキーマ接頭辞付きの データ URL は、ブラウザー内に偽の内容を表示しつつ正規のアドレス文字列を含めることができてしまうため、フィッシング攻撃に悪用されることがしばしばあります。

こうしたセキュリティリスクを緩和するため、Firefox はトップレベルブラウザーウィンドウ内でデータ URL を開く恐れのあるページ遷移試行を近々ブロックする予定です。この変更は以下のようなシナリオに影響します。

  • ページ上の URL が手動あるいはプログラムでクリックされた場合
  • ページが location.hreflocation.assign() あるいは location.replace() でデータ URL を読み込もうとした場合
  • ページが window.open() で新しいタブにデータ URL を読み込もうとした場合
  • フレームコンテンツがトップレベルウィンドウもしくは新しいタブでデータ URL を読み込もうとした場合

SVG を除く画像と、PDF、JSON、プレーンテキストファイルは除外されており、それらのデータ URL 遷移は常に許可されます。

一方、以下のような操作は影響を受けません。

  • ユーザーがアドレスバーにデータ URL を手入力してコンテンツを読み込もうとした場合
  • ページが <frame> あるいは <iframe> にデータ URL を読み込もうとした場合
  • ページが画像その他の素材にデータ URL を使用した場合
  • ページがデータファイルのダウンロードを誘発した場合

参考資料