Credentialless iframes
実践的な実装ガイドフォームの自動補完を無効にするには
攻撃Clickjacking
クロスサイトスクリプティング (XSS)
サブドメインテイクオーバー
認証安全でないパスワード
防御策サブリソース完全性
トランスポート層セキュリティ
ユーザーによる活性化
保護されたコンテキスト
同一オリジンポリシー
混在コンテンツ
証明書の透明性
Experimental: これは実験的な機能です。
本番で使用する前にブラウザー互換性一覧表をチェックしてください。
無信頼の iframe は、開発者が新しい、一時的なコンテキストを使用して <iframe> でサードパーティ製のリソースを読み込むためのメカニズムを提供します。これは、通常のオリジンのネットワーク、クッキー、ストレージデータにアクセスすることはできません。最上位の文書の寿命を限度とした新しいコンテキストを使用します。結果的に Cross-Origin-Embedder-Policy (COEP) 埋め込みルールを解除することができるので、COEP を設定した文書に、そうでないサードパーティーの文書を埋め込むことができます。
対応ブラウザ
| 機能 | デスクトップ | モバイル | ||||
|---|---|---|---|---|---|---|
| Chrome | Edge | Firefox | Safari | Chrome Android | Safari iOS | |
| 110 | 110 | | | 110 | | |
| HTML 属性 | ||||||
credentialless 実験的 無信頼の iframe は、開発者が新しい、一時的なコンテキストを使用して iframe でサードパーティ製のリソースを読み込むためのメカニズムを提供します。これは、通常のオリジンのネットワーク、クッキー、ストレージデータにアクセスすることはできません。最上位の文書の寿命を限度とした新しいコンテキストを使用します。結果的に Cross-Origin-Embedder-Policy (COEP) 埋め込みルールを解除することができるので、COEP を設定した文書に、そうでないサードパーティーの文書を埋め込むことができます。 | 110 | 110 | | | 110 | |
| DOM API | ||||||
credentialless 実験的 window.credentialless は読み取り専用プロパティで、現在の文書が信頼性のない iframe 内に読み込まれたかどうか、つまり新しい、一時的なコンテキストで読み込まれたかを示す論理値を返します。 | 110 | 110 | | | 110 | |
基本構文
<iframe src="https://third-party.example.com"
credentialless
width="600" height="400">
</iframe>ライブデモ
Credentialless embedding
Explain how a credentialless iframe omits cookies and other ambient credentials.
Why use it
Credentialless mode can reduce cross-site state sharing when an embed does not need signed-in context.
Design checklist
Only choose credentialless mode when the embedded experience can work without cookies or other credentials.
実務での使いどころ
-
Credentialless iframes の活用
実践的な実装ガイドフォームの自動補完を無効にするには
注意点
- 一部のブラウザでのみ対応。使用前にブラウザサポートを確認すること。
アクセシビリティ
- スクリーンリーダーでの読み上げを確認すること。