文書番号: 241754 - 最終更新日: 2007年8月14日 - リビジョン: 2.4

[InetSDK] クロスフレームスクリプトが可能なページを HTML アプリケーションで作成する

Retired KB Articleサポート期間が終了した「サポート技術情報」資料に関する免責事項
対象製品
お知らせお使いのオペレーティング システムには適用しない情報が含まれている場合があります。
この記事は、以前は次の ID で公開されていました: JP241754
すべて展開する | すべて折りたたむ

概要

Internet Explorer 4.0 SP1 では、Microsoft は、コンテンツが別々のドメインに存在するフレームどうしがお互いにスクリプトしないようにしています。開発者の中には、この制限を避けたいけれども、あるフレームのドキュメントに対して document.domain を現在の最上位レベルのドメインに設定するという確立された回避策を使用できない人がいます。こういった場合は、Internet Explorer 5 の新機能である HTML アプリケーション (HTA) を使用して、クロス フレーム スクリプトを有効にすることができます。
先頭へ戻る

詳細

クロス フレーム スクリプトは、フレーム スプーフィングと呼ばれるトロイの木馬型のセキュリティ ホールを防ぐために無効にされていました。このセキュリティ ホールは、ある Web サイトが、ユーザー情報を盗むために、信頼されている Web サイト内でフレームになりすますというものです。以下の Knowledge Base では、同じネットワーク上の別々のマシンのドキュメントに関して、document.domain を使用してクロス フレーム スクリプトを有効にする方法が説明されています。

167796? (http://support.microsoft.com/kb/167796/JA/ ) [InetSDK] フレームをまたがってのスクリプトで "アクセス拒否"

ただしこれは、同じネットワーク上のマシンで、別々の最上位レベル ドメインに解決されるもの、たとえば、同じマシン上にあって別々の仮想ホストを使用する Web サイトなどに対しては、効果がありません。また、お互いにパートナーとなっていて、フレーム経由で対話したいという 2 つの異なるサイトに対しても機能しません。

こうした状況では、Internet Explorer 5 のソリューションを構築している開発者は、作成したフレームセットのクロス フレーム セキュリティを、HTML アプリケーション (HTA) に変えることによって回避することができます。これには、ページに.hta という拡張子を付け、ページの上部、HTML タグの下に <HTA:APPLICATION> というタグを挿入することが必要です。別のフレームをスクリプトしようとするフレーム (スクリプトソースなど) は、属性ペア「APPLICATION=yes」を FRAME タグ内部に持っていなければなりません。

ユーザーからアクセスがあると、HTA はそのユーザーがファイルを「実行」したいかどうかたずねます。ユーザーが「はい」と応えると、HTA は独自のウィンドウで開きます。その時点から、ドキュメントは、別々のドメインからのドキュメントを持つフレーム間で自由にスクリプトを行うことができます。これは、信頼ベースのセキュリティを使用するため、安全と考えられます。ユーザーは、ホストが故意に悪質なプログラミングを行わないということを、確実に信頼できなければなりません。

HTA の動作を確認するには、以下の HTML コードを Frame.hta というファイルに入力します。 
   <HTA:APPLICATION>

   <HEAD>
   <TITLE>HTML Application Sample</TITLE>
   </HEAD>

   <FRAMESET COLS="35%,*">

   <FRAME id=fm1 src="fm1.htm" APPLICATION=yes>
   <FRAME id=fm2 src="http://www.microsoft.com">

   </FRAMESET>

   </HTML>
以下のコードを Fm1.htm というファイルに入力します。 
   <HTML>

   <BODY>

   <BUTTON id=btn1 onclick="window.external.AddFavorite(parent.fm2.document.loca
tion, parent.fm2.document.title)">
   Add to Favorites >>
   </BUTTON>

   </BODY>

   </HTML>
これらのファイルを同じディレクトリに保存して、Internet Explorer 5 を使用して Frame.hta にナビゲートします。
先頭へ戻る

関連情報

クロス フレーム スクリプトの問題および document.domain の回避策についての詳細は、以下の Knowledge Base をご覧ください。
167796? (http://support.microsoft.com/kb/167796/JA/ ) [InetSDK] フレームをまたがってのスクリプトで "アクセス拒否"
Internet Explorer の Web ベースのソリューションを開発する方法については、以下のサイトをご覧ください。

MSDN Web Workshop
( http://msdn2.microsoft.com/en-us/library/ms968493.aspx (http://msdn2.microsoft.com/en-us/library/ms968493.aspx) )

Internet Explorer Developer Center
( http://msdn.microsoft.com/ie/ (http://msdn.microsoft.com/ie/) )

Internet Explorer (Programming) Support FAQs and Highlights Page
( http://support.microsoft.com/default.aspx?PR=iep&FR=0&SD=MSDN&LN=EN-US (http://support.microsoft.com/default.aspx?pr=iep&fr=0&sd=msdn&ln=en-us) )
先頭へ戻る

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 241754? (http://support.microsoft.com/kb/241754/EN-US/ ) (最終更新日 2000-07-06) をもとに作成したものです。

先頭へ戻る
この資料は以下の製品について記述したものです。
  • Microsoft Internet Explorer 5.0
  • Microsoft Internet Explorer 5.5
先頭へ戻る
キーワード:?
cross-frame denied kbcustomhtml kbdhtml kbgrpinet kbhta kbie500 kbie550 kbiefaq kbscript scripting kbhowto KB241754
先頭へ戻る
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
Retired KB Articleサポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。
先頭へ戻る