kkamegawa's weblog

Visual Studio,TFS,ALM,VSTS,DevOps関係のことについていろいろと書いていきます。Google Analyticsで解析を行っています

フレームで表示する短縮urlサービスを防ぐためにX-FRAME-OPTIONS

twitterでは短縮urlサービスを使っている人が多いですが、ow.lyというサービスはフレームのように元サイトを表示してくれて、フィッシングに見えてしまいます。上にあるバーの×ボタンを表示すれば実サイトが表示されるのだそうです。Firefoxではそれも面倒だということでGreacemonkeyスクリプトを書いた方もいらっしゃるそうです。
URL短縮サービス ow.ly は実URLが表示されずに危険 → グリモン書いた - まちゅダイアリー(2009-11-05)
私はGreaceMonkey使いたくない人だし、うーんとかおもったらWebサイト側で対抗できる技があると教えてもらいました(IE8限定?)。
2009/01/27 - IE8 セキュリティー パート VII: クリックジャッキングを防ぐ
HTTPホストヘッダーにX-FRAME-OPTIONSをSameDomainかDENYとつけると、IE8はフレーム間で異なるドメインの表示を抑止するのだそうです。そもそもなぜow.lyを使うんだろう?訪れたユーザー数を数えて、「ほら、をれの紹介でこれだけ来たんだからおまえのところの広告収入よこせ」というネタにでもするのかと思って*1twitterでつぶやいたら、ユーザーの問題というよりも、Twitterクライアントの問題なのかもね?という話も教えてもらいました。なるほど。
Page not found :(
でもまぁ、世の中にtwitterクライアントはいっぱいある(はず)し、さくっと乗り換えることで圧力になるといいなぁ。

*1:冗談です。念のため