パソコンで分からない事がある人コミュのＩＥのクロスサイトのスクリプト防止について

ミクシィにて、アプリリクエスト受付時に、「ＩＥはクロスサイトスクリプト防止のためページを変更しました」と表示され、リクエストの受付不可になります。
セキュリティレベルの変更で、スクリプトのｘｓｓフィルタを無効にする方法があると検索できたのですが、この方法を行っても大丈夫なのでしょうか？

ちなみに、ＯＳをｓｐ２にバージョンアップするまではこのような表示はありませんでした。
バージョンアップしたのは、１週間前です。
また、ｓｐ２へのバージョンアップにともない、ＩＥが自動的に８から９にバージョンアップされていました。

ご解答、よろしくおねがいします。

ＰＣ：ＮＥＣ　ＬａＶｉｅ　ＬＬ５５０／Ｓ
ＯＳ：Ｗｉｎｄｏｗｓ　Ｖｉｓｔａ　ｓｐ２
ブラウザ：ＩＥ９

コメント(9)

最初
全て
最新の40件

[1] mixiユーザー 10月17日 11:01

IEのクロスサイトスプリクト（以降XSS）防止機能は結構誤検出がある模様です。
かといってせっかくの機能を無効にしてしまうのはもったいないし危険なので
mixiのサイト内でのみXSS防止機能を動作させないようにしてみてはどうでしょう？
（実は私もアプリリクエストでXSSが誤検出していたので以下を設定しています）

インターネットオプションのセキュリティタブの信頼済みサイトをまずインターネットのゾーンと同じセキュリティにします。
（mixiを完全に100％信頼しているなら同じにしなくてもいいですが）
信頼済みサイトを選択し、レベルのカスタマイズからカスタム設定のリセットの項目で「中高」を選んでリセットするとインターネットのゾーンと同じセキュリティになります。
その上で、上の設定の項目内の「スクリプト」の中の「XSSフィルターを有効にする」のみを無効にしてOKをクリック。

次にサイトをクリックして一旦「このゾーンのサイトにはすべてサーバーの確認(https:)を必要とする」のチェックを外して「http://*.mixi.jp」を追加。
このチェックは追加するときの話なので追加後は再び付けておいてもどっちでもいいです。
（mixiのページを開いて追加画面を開けば初めからhttp://*.mixi.jpが入力されてますのでそのまま追加）

最後に保護モードを有効にしておきましょう。
これはブラウザから別のアプリケーションを呼び出そうとしているときに聞いてくるものですが、インターネットのゾーンは有効になっているので同じに。

以上でmixiのサイト内のみでXSS防止機能が働かないようにできます。
それ以外のサイトでは機能しますので安全です。

信頼済みサイトを別の目的で既に使用していて、独自のセキュリティを設定してあって変更したくない場合はこの方法は使えません。

[2] mixiユーザー 10月17日 16:49

＞えびせんさん

丁寧なご解答、ありがとうございました。
とてもわかりやすく、スムーズに設定できました。
リクエストも受付できるようになりました。
ありがとうございました。

[3] mixiユーザー 11月18日 08:00

>>[1]

こんにちは、はじめまして。

設定してしようとしていますが以下の一文がどこを指すのかわかりません。

＞最後に保護モードを有効にしておきましょう。

どこから「保護モード」の設定ができるのでしょうか？
よろしくお願いします。

[4] mixiユーザー 11月18日 08:21

>>[3]
私が >>[1] で貼った画像に赤丸で囲ってあるのですがわかりませんか？
左上のダイアログ内下の方、レベルのカスタマイズボタンの左です。

しかし >>[1] でも言っていますが、この保護モードとはブラウザから他のアプリケーションを呼び出そうとしているときに警告を出すだけのものですから、自分でわかってるならチェックを入れなくても構いませんよ。
意図しないでブラウザから悪質なプログラムが実行されそうになっているときなど警告によって気が付けば防げる程度ですが、信頼済みサイトに入れてあるサイトでまずそんなことは無いと思いますし。

[5] mixiユーザー 11月18日 08:50

>>[4]

早速のご回答ありがとうございます！
見落としていました。
助かりました。

ログインすると、みんなのコメントがもっと見れるよ