🔍

Google.comがiframeに埋め込めるようになるパラメータの謎

2022/08/15に公開

はじめに

Google.com（のすべてかは分かりませんが少なくとも検索ページ）はX-Frame-OptionsヘッダーがSAMEORIGINに設定されているため、他のドメインからの埋め込みが出来なくなっています。

こうなっているのは、クリックジャッキング攻撃を防いで、個人情報を抜き取ったり、悪意あるスクリプトを実行したりできないようにするためだそうです。

google.com/~のURLの末尾にigu=1というパラメータを付け足すと、X-Frame-Optionsヘッダの設定が消えて何故か埋め込めるようになります。

また、以前はigu=2というパラメータでも同様の効果があったそうです。

igu=2というパラメータは、2014年のエイプリルフールにGoogleが「com.google（現在リンク切れ）にアクセスすると文字が全て左右反転する」というジョークを仕掛けた時に用意されたようです。

「com.google」では、全画面のiframeにgoogle.comを埋め込むことでGoogleのようなページが表示されるようになっていました。

igu=2パラメータを付けてGoogleのページを埋め込むと、その画面内でアカウント設定なども開けてしまうらしく、「成りすましたサイト内で本物のgoogle.comを開き、データを抜き取る」といったような手口が可能になると問題になったようです。

海外のテック系メディアでは一日も経たないうちにこの事態が報じられ、タイトルに「No joke」と付いているのが何とも笑えません。

igu=2に続いて現れたパラメータigu=1は、同様にiframeなどへの埋め込みが出来るようになります。

これは、2011年から開始されたGoogle公式のウェブサービス（ゲーム）である「A Google a Day」のために用意されたもののようです。
（開発ツールを開くと、例のパラメータが使われているのが分かります）

「A Google a Day」は指定されたお題をググってその時間を競うというものみたいです。

ゲーム内でGoogle検索を使用するという性質上、このゲームのために埋め込み可能にするパラメータが作成されたということですね。

こちらはigu=2とは違って一応セキリュティ対策がされており、ログインした状態で開いても右上にアイコンが表示されず、ログインボタンを押してもフレーム内では設定画面などが開けないようになっています。

↓igu=1パラメータ付きのリンクです。

Wikipediaには「A Google a Day」は2013年にサービス終了したと書かれているので、このパラメータがいつ使えなくなるかは分かりませんが、セキリュティ上の問題はとりあえずなさそうです。