facebookでアプリを作っていますが、ie10での挙動で質問があります。

Question

appfb

23

23もっと見る

100pt

ウェブ制作

facebookでアプリを作っていますが、ie10での挙動で質問があります。

アプリタイプは、キャンバス型アプリやタブ型アプリのiframe内で動くwebアプリです。
添付のコードを読み込むと「セキュリティで保護されているコンテンツのみ表示されます。」と警告が出ます。
これをieのセキュリティー設定でなく、コード側で回避する方法をご存知の方いますか？
当然appIdは、取得したアプリIDに変更して実行しています。

例えば、セブンイレブンアプリは警告が出ません。
警告を回避するロジックはどのような方法があるかご指導いただければ幸いです。
https://apps.facebook.com/the_seven_quiz/

よろしくお願いします。

回答の条件

1人5回まで

登録：2013/08/17 11:11:36
終了：2013/08/17 13:18:43

※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

質問者から

appfb2013/08/17 11:36:57

テストコード元

http://facebook-docs.oklahome.net/archives/51972911.html

<!DOCTYPE html>
<html lang="ja">
<head>
    <meta charset="utf-8">
    <title>Disp Test</title>
</head>

<body>
<div id="fb-root"></div>
<script>
  window.fbAsyncInit = function() {
    FB.init({
      appId  : 'XXXXXXXXXXXXXXX',
      status : true,
      cookie : true,
      xfbml  : true
    });
  };

  (function() {
    var e = document.createElement('script');
    e.src = document.location.protocol + '//connect.facebook.net/en_US/all.js';
    e.async = true;
    document.getElementById('fb-root').appendChild(e);
  }());
</script>

</body>
</html>

規約違反として通知

質問者から

appfb2013/08/17 11:35:25

質問文を編集しました。詳細はこちら。

規約違反として通知

a-kuma3 2013/08/17 19:36:10

なるほど、Rewrite かあ。
ぼくもモヤモヤしていたので、すっきりです　＞うぃんどさん

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

リクエスト送信済

回答リクエストを送信したユーザーはいません

うぃんど · Accepted Answer · 2013-08-17T11:16:07+09:00

No.1

うぃんど262511492013/08/17 11:16:07

100pt

コード側で回避できたら、それはセキュリティホールです。

何のために「セキュリティで保護されているコンテンツのみ表示されます。」という仕組みになっているのかを考えればわかるはずですよ。

Internet Explorer 9 以降での "セキュリティで保護されたコンテンツのみ表示" 通知について
http://support.microsoft.com/kb/2625928/ja

質問文追加に対する返答

例えば、セブンイレブンアプリは警告が出ません。
警告を回避するロジックはどのような方法があるかご指導いただければ幸いです。
https://apps.facebook.com/the_seven_quiz/

セキュリティを回避するロジックがあったら、ウィルスとかに利用されてしまいます。
セブンイレブンがそんな奇抜で危険な手段を取る利点はありません。
定めに従って、すべての通信をhttpsで行っているだけです。

他9件のコメントを見る

こんにちは。
質問が良くなかったですね。
例えば、セブンイレブンクイズのアプリなどは警告が出ません。
ieのセキュリティをうまく回避するロジックはどのような方法があるかご指導いただければ幸いです。

https://apps.facebook.com/the_seven_quiz/

2013/08/17 11:42:24

セキュリティを回避するロジックがあったら、ウィルスとかに利用されるでしょう？

セブンのfacebookページで警告が出ない理由は以前の質問で回答いただいたとおり、
画像も含めてすべてhttpsで通信しているからです。

あなたも同様にしたいのであれば、
https対応のサーバーでWEBサイトを構築する必要があるということになります。

2013/08/17 11:44:51

なるほど･･･
基本的なことがわかってないのでしょうね。
Xサーバーを利用しているのですが、共有SSLアドレスを設定しているし、facebookのアプリ基本設定で『セキュリティで保護されたキャンバスのURL』には共有SSLアドレスをセットしているので、てっきりSSL通信を行っているものとばかり思っていました。
確かにfacebook側のセキュア通信をオフにするとメッセージは出なくなりました。
早速、独自SSLを取得してみたいと思います。
ありがとうございました。

2013/08/17 12:01:42

同じ共有SSLを使っている別サイトがfacebookとトラブルを起こしていない限り、
共有SSLでも独自SSLでも同じ挙動になるはずですよ。

iframeの中に表示されるhtmlファイルの中にhttp通信を行う記述が入っていないかをよく確認してみてください。

一例

<img src="http://ほげほげ/ふがふが">  ←httpで通信するように書いてある
<img src="/ほげほげ/ふがふが">  ←プロトコルの指定が無いのでhtml本体に従う。

2013/08/17 12:12:46

コメントありがとうございます。
また、環境情報の後出しですみません。
テストしているドメイン上には、上記コードのみを記述したindex.phpファイル1つしかありません。
したがって、邪魔するようなコードはないはずです。

ie10のF12で起動する開発者ツールでは、なんかメッセージが出ています。
先ほどコメントしたように共有SSLドメインを設定しており、かつ、プロトコル指定をしている個所は一か所も無いのにもかかわらず、『HTTPS セキュリティが http://www.ほげほげ.com/ によって危害を受けています』と警告が出ています。
その後に、『HTTPS セキュリティが http://connect.facebook.net/en_US/all.js によって危害を受けています』と警告が出たのち『操作は中断されました』との警告。

> <img src="/ほげほげ/ふがふが">  ←プロトコルの指定が無いのでhtml本体に従う

ということは、iframe 内がSSL通信を行っていると、画像もSSL通信を行うという認識でよろしいでしょうか？

それだと辻褄が合います。
セキュア設定を行っているにもかかわらず、『HTTPS セキュリティが http://www.ほげほげ.com/ によって危害を受けています』というメッセージは、一つの可能性をおっしゃられていた通り何らかの事情でSSL通信がfacebook側から弾かれているかもしれません。

やはり独自SSLを検討したほうがいいかもしれません。

2013/08/17 13:00:04

SSL通信がはじかれているのではなく、非SSL通信が混じっているためにはじかれているので、独自か共用かは関係ないですよ。

（１）まずは『http://www.ほげほげ.com/ によって危害を受けています』の通知に着目します。

http://www.ほげほげ.com/ふがふがではないということから、
index.htmlファイルと明示せず、
ドメイン名だけで呼び出しているということになりますが…、合ってますか？

合っていれば、
本体のindex.htmlを呼び出す時点ですでにhttpsではないということになりますので、http://www.ほげほげ.com/と設定した箇所を見直して、
https://www.ほげほげ.com/に直しましょう。

（２）次に、『HTTPS セキュリティが http://connect.facebook.net/en_US/all.js によって危害を受けています』に着目します。

プログラムコードを見ると相対指定になっていますので、
前述（１）の修正が完了すれば、こちらも自動的に直るはずです。

2013/08/17 13:22:02

何度もありがとうございます。
今回の質問とご指導は、facebookのアプリ基本設定のことでよろしいでしょうか？

（1）
> ドメイン名だけで呼び出しているということになりますが…、合ってますか？
合っています。
現在、キャンバス型webアプリでのみテストしていますが、キャンバス型はファイル名まで指定するとエラーが出ますので、ドメイン名だけで呼び出すfacebook側の仕様となっています。

> https://www.ほげほげ.com/に直しましょう。
これもきちんと設定されています。
https 以外のドメインを指定すると、これもfacebook設定画面でエラーが出ます。
Xサーバーの共有SSLドメインは、https://ほげほげ-com.ssl-xserver.jp/ ですが間違いなくこのドメインがセットされています。
もちろん https://www.ほげほげ.com/ もテストしましたが当然403エラーが返ってきました。

（2）
> プログラムコードを見ると相対指定になっていますので、
了解しました。

> SSL通信がはじかれているのではなく、非SSL通信が混じっているためにはじかれているので、独自か共用かは関係ないですよ。
今までご指導いただいた回答やコメントにより承知しております。
独自を検討と書いたのは、
> 同じ共有SSLを使っている別サイトがfacebookとトラブルを起こしていない限り
どんなに穴が開くほど設定とコードを見直しても、「セキュリティで保護されているコンテンツのみ表示されます。」という警告が出るということは、『トラブルを起こしていない限り』という一つの可能性を取り去りたかったからです。

2013/08/17 13:57:04

＞可能性を取り去りたかったから
正しく伝わっていたのですね。よかったです。

一つ思いついたので書いておきます。
.htaccessでrewriteとかしてませんか？
合わせて確認してみてください。

2013/08/17 14:10:35

はっ･･･今から確認します！

2013/08/17 15:20:24

やってました･･･ RewriteEngine On ･･･
散々お騒がせして誠にすみませんm(_ _)m
古いドメインだったのですっかり忘れてました。
穴があったら入りたいです。
これでは独自SSLをとっても迷路にはまったままでした。

無事動作を確認しました。

今回、「セキュリティで保護されているコンテンツのみ表示されます。」に関する質問を重ねた結果、親切な方々から丁寧なご回答を頂きまして、この警告はSSL通信に非SSL通信が混在することによってのみ発せられるということが分かったことは大変な勉強になりました。
他の可能性も疑っていた素人の私としては、解決の的を絞ることができずにいました。
重ね重ねお礼を申します。

2013/08/17 15:41:10

＞無事動作を確認

よかったです。

では失礼…。

2013/08/17 15:50:47

うぃんど · Accepted Answer · 2013-08-17T11:16:07+09:00

No.1

うぃんど262511492013/08/17 11:16:07ここでベストアンサー

100pt

コード側で回避できたら、それはセキュリティホールです。

何のために「セキュリティで保護されているコンテンツのみ表示されます。」という仕組みになっているのかを考えればわかるはずですよ。

Internet Explorer 9 以降での "セキュリティで保護されたコンテンツのみ表示" 通知について
http://support.microsoft.com/kb/2625928/ja

質問文追加に対する返答

例えば、セブンイレブンアプリは警告が出ません。
警告を回避するロジックはどのような方法があるかご指導いただければ幸いです。
https://apps.facebook.com/the_seven_quiz/

セキュリティを回避するロジックがあったら、ウィルスとかに利用されてしまいます。
セブンイレブンがそんな奇抜で危険な手段を取る利点はありません。
定めに従って、すべての通信をhttpsで行っているだけです。

他9件のコメントを見る

こんにちは。
質問が良くなかったですね。
例えば、セブンイレブンクイズのアプリなどは警告が出ません。
ieのセキュリティをうまく回避するロジックはどのような方法があるかご指導いただければ幸いです。

https://apps.facebook.com/the_seven_quiz/

2013/08/17 11:42:24

セキュリティを回避するロジックがあったら、ウィルスとかに利用されるでしょう？

セブンのfacebookページで警告が出ない理由は以前の質問で回答いただいたとおり、
画像も含めてすべてhttpsで通信しているからです。

あなたも同様にしたいのであれば、
https対応のサーバーでWEBサイトを構築する必要があるということになります。

2013/08/17 11:44:51

なるほど･･･
基本的なことがわかってないのでしょうね。
Xサーバーを利用しているのですが、共有SSLアドレスを設定しているし、facebookのアプリ基本設定で『セキュリティで保護されたキャンバスのURL』には共有SSLアドレスをセットしているので、てっきりSSL通信を行っているものとばかり思っていました。
確かにfacebook側のセキュア通信をオフにするとメッセージは出なくなりました。
早速、独自SSLを取得してみたいと思います。
ありがとうございました。

2013/08/17 12:01:42

同じ共有SSLを使っている別サイトがfacebookとトラブルを起こしていない限り、
共有SSLでも独自SSLでも同じ挙動になるはずですよ。

iframeの中に表示されるhtmlファイルの中にhttp通信を行う記述が入っていないかをよく確認してみてください。

一例

<img src="http://ほげほげ/ふがふが">  ←httpで通信するように書いてある
<img src="/ほげほげ/ふがふが">  ←プロトコルの指定が無いのでhtml本体に従う。

2013/08/17 12:12:46

コメントありがとうございます。
また、環境情報の後出しですみません。
テストしているドメイン上には、上記コードのみを記述したindex.phpファイル1つしかありません。
したがって、邪魔するようなコードはないはずです。

ie10のF12で起動する開発者ツールでは、なんかメッセージが出ています。
先ほどコメントしたように共有SSLドメインを設定しており、かつ、プロトコル指定をしている個所は一か所も無いのにもかかわらず、『HTTPS セキュリティが http://www.ほげほげ.com/ によって危害を受けています』と警告が出ています。
その後に、『HTTPS セキュリティが http://connect.facebook.net/en_US/all.js によって危害を受けています』と警告が出たのち『操作は中断されました』との警告。

> <img src="/ほげほげ/ふがふが">  ←プロトコルの指定が無いのでhtml本体に従う

ということは、iframe 内がSSL通信を行っていると、画像もSSL通信を行うという認識でよろしいでしょうか？

それだと辻褄が合います。
セキュア設定を行っているにもかかわらず、『HTTPS セキュリティが http://www.ほげほげ.com/ によって危害を受けています』というメッセージは、一つの可能性をおっしゃられていた通り何らかの事情でSSL通信がfacebook側から弾かれているかもしれません。

やはり独自SSLを検討したほうがいいかもしれません。

2013/08/17 13:00:04

SSL通信がはじかれているのではなく、非SSL通信が混じっているためにはじかれているので、独自か共用かは関係ないですよ。

（１）まずは『http://www.ほげほげ.com/ によって危害を受けています』の通知に着目します。

http://www.ほげほげ.com/ふがふがではないということから、
index.htmlファイルと明示せず、
ドメイン名だけで呼び出しているということになりますが…、合ってますか？

合っていれば、
本体のindex.htmlを呼び出す時点ですでにhttpsではないということになりますので、http://www.ほげほげ.com/と設定した箇所を見直して、
https://www.ほげほげ.com/に直しましょう。

（２）次に、『HTTPS セキュリティが http://connect.facebook.net/en_US/all.js によって危害を受けています』に着目します。

プログラムコードを見ると相対指定になっていますので、
前述（１）の修正が完了すれば、こちらも自動的に直るはずです。

2013/08/17 13:22:02

何度もありがとうございます。
今回の質問とご指導は、facebookのアプリ基本設定のことでよろしいでしょうか？

（1）
> ドメイン名だけで呼び出しているということになりますが…、合ってますか？
合っています。
現在、キャンバス型webアプリでのみテストしていますが、キャンバス型はファイル名まで指定するとエラーが出ますので、ドメイン名だけで呼び出すfacebook側の仕様となっています。

> https://www.ほげほげ.com/に直しましょう。
これもきちんと設定されています。
https 以外のドメインを指定すると、これもfacebook設定画面でエラーが出ます。
Xサーバーの共有SSLドメインは、https://ほげほげ-com.ssl-xserver.jp/ ですが間違いなくこのドメインがセットされています。
もちろん https://www.ほげほげ.com/ もテストしましたが当然403エラーが返ってきました。

（2）
> プログラムコードを見ると相対指定になっていますので、
了解しました。

> SSL通信がはじかれているのではなく、非SSL通信が混じっているためにはじかれているので、独自か共用かは関係ないですよ。
今までご指導いただいた回答やコメントにより承知しております。
独自を検討と書いたのは、
> 同じ共有SSLを使っている別サイトがfacebookとトラブルを起こしていない限り
どんなに穴が開くほど設定とコードを見直しても、「セキュリティで保護されているコンテンツのみ表示されます。」という警告が出るということは、『トラブルを起こしていない限り』という一つの可能性を取り去りたかったからです。

2013/08/17 13:57:04

＞可能性を取り去りたかったから
正しく伝わっていたのですね。よかったです。

一つ思いついたので書いておきます。
.htaccessでrewriteとかしてませんか？
合わせて確認してみてください。

2013/08/17 14:10:35

はっ･･･今から確認します！

2013/08/17 15:20:24

やってました･･･ RewriteEngine On ･･･
散々お騒がせして誠にすみませんm(_ _)m
古いドメインだったのですっかり忘れてました。
穴があったら入りたいです。
これでは独自SSLをとっても迷路にはまったままでした。

無事動作を確認しました。

今回、「セキュリティで保護されているコンテンツのみ表示されます。」に関する質問を重ねた結果、親切な方々から丁寧なご回答を頂きまして、この警告はSSL通信に非SSL通信が混在することによってのみ発せられるということが分かったことは大変な勉強になりました。
他の可能性も疑っていた素人の私としては、解決の的を絞ることができずにいました。
重ね重ねお礼を申します。

2013/08/17 15:41:10

＞無事動作を確認

よかったです。

では失礼…。

2013/08/17 15:50:47

facebookでアプリを作っていますが、ie10での挙動で質問があります。

質問者から

ベストアンサー

うぃんど262511492013/08/17 11:16:07

その他の回答（0件）

うぃんど262511492013/08/17 11:16:07ここでベストアンサー

質問者から

コメント（1件)

この質問への反応（ブックマークコメント）