影響あり データ URL が独自オリジンとして扱われるようになりました

公開日: | カテゴリー: DOM, プライバシー & セキュリティ

概要

Firefox 57 以降、data: スキーマ接頭辞付きの データ URL は独自の オリジン として扱われるようになりました。つまり、<iframe> に読み込まれたデータ URL 内のスクリプトは今後、それが埋め込まれたページ上のオブジェクトへアクセスできなくなります。この変更は、クロスサイトスクリプティング (XSS) 攻撃のリスクを軽減するだけでなく、Firefox を HTML 標準や他のブラウザーの挙動と一致させることを目的としたものです。

YUI 2 のリッチテキストエディター機能が、Firefox 内でのみデータ URL を使っていることから、動作していないことが判明しています。このライブラリはもはや活発にメンテナンスされていないことから、ユーザーは有望な代替ライブラリへの移行を検討すべきでしょう。今のところ Mozilla がこの問題を Firefox 側で解決する予定はありません。

参考資料