実はGoogle.comをiframeに埋め込む方法がある


はじめに

Google.com(のすべてかは分かりませんが少なくとも検索ページ)はX-Frame-OptionsヘッダーがSAMEORIGINに設定されているため、他のドメインからの埋め込みが出来なくなっています。

こうなっているのは、クリックジャッキング攻撃を防いで、個人情報を抜き取ったり、悪意あるスクリプトを実行したりできないようにするためだそうです。

とあるパラメータを付けると埋め込めるようになる

google.com/~のURLの末尾にigu=1というパラメータを付け足すと、X-Frame-Optionsヘッダの設定が消えて何故か埋め込めるようになります

また、以前はigu=2というパラメータでも同様の効果があったそうです。

igu=2の謎

igu=2というパラメータは、2014年のエイプリルフールにGoogleが「com.googleにアクセスすると文字が全て左右反転する」というジョークを仕掛けた時に用意されたようです。

com.googleでは、全画面のiframeにgoogle.comを埋め込むことでGoogleのようなページが表示されるようになっていました。

igu=2パラメータを付けてgoogleのページを埋め込むと、その画面内でアカウント設定なども開けてしまうらしく、「成りすましたサイト内で本物のgoogle.comを開き、データを抜き取る」といったような手口が可能になると問題になったようです。

海外のテック系メディアでは一日も経たないうちにこの事態が報じられ、タイトルに「No Joke」と付いている有様です。

igu=1の謎

igu=2に続いて現れたパラメータigu=1は、同様にiframeなどへの埋め込みが出来るようになります。

これは、2011年から開始されたGoogle公式のウェブサービス(ゲーム)である「A Google a Day」のために用意されたもののようです。 (開発ツールを開くと、例のパラメータが使われているのが分かります)

「A Google a Day」は指定されたお題をググってその時間を競うというものみたいです。

ゲーム内でGoogle検索を使用するという性質上、このゲームのために埋め込み可能にするパラメータが作成されたということですね。

こちらはigu=2とは違って一応セキリュティ対策がされており、ログインした状態で開いても右上にアイコンが表示されず、ログインボタンを押すとフレーム内では設定画面などが開けないようになっています。

igu=1パラメータ付きのリンクです。

おわりに

Wikipediaには「A Google a Day」は2013年にサービス終了したと書かれるので、このパラメータが無くなってしまう可能性もありますが、セキリュティ上の問題はないということみたいです。

Comments

Show Comments