IE8でクロスサイト・スクリプトがどうとか
今日もEBSで遊んでたら技術検証をしていたら、再起動してFormsアプレットが立ち上がるところでこんな表示が。
Internet Explorerは、クロスサイト・スクリプトを防止するために、このページを変更しました。詳細についてはここをクリックしてください。
そしてFormsのほうは
FRM-92050: サーバー: /forms/servlet:-1に接続できません。
ぐはあ。Forms画面はエラーメッセージ以外表示されません。
いろいろやらかしてたので焦りましたが、確認してわかったことは
- 普段はイントラネットモードでブラウザからEBSにアクセスしていた
- そのときはインターネットモードでアクセスしていた
- イントラネットモードではXSSフィルターが無効であり、インターネットモードだと有効になっていた(参考:http://www.google.co.jp/images?hl=ja&q=ie8+xss)
XSSフィルターが作動していたようです*1。つまり、XSSフィルターを無効化すればFormsは起動するし業務が止まることは避けられます。
しかしXSSフィルターを無効化するのはセキュリティ強度を下げることになるわけで・・・私のようにイントラだけレベル下げればいいのであればまだましですが、セキュリティ的にはよろしくない回避策。いい方法が思いつきません。
*1:IE側にメッセージがなくてFormsに上記のエラーがでている場合はサーバー過負荷が考えられるらしい