ids/2/802.txt


[1] [[HTML]] の [CODE(HTMLe)[[[input]]]] 要素は、 [CODE(HTMLa)[[[type]]]]
属性が [DFN[[CODE(HTML)[hidden]]]] の時、 [DFN[隠れ制御子]]となります。

[2] 仕様書: 
- [[HTML 4]] ([[Web Forms 1.0]])
-- hidden control <IW:HTML4:"interact/forms.html#hidden-control">
-- 17.4 The [CODE(HTMLe)[INPUT]] element
<IW:HTML4:"interact/forms.html#edef-INPUT">
- [[Web Forms 2.0]]
-- [CSECTION@en[2.3. Changes to existing controls]]
<IW:WF2:"#changes">

[3] 属性:
,属性名      ,属性値      ,既定値      ,説明 ,出典
,[CODE(HTMLa)[[[class]]]]       ,       ,       ,[[級]]        ,[HTML 4] %[[coreattrs]]
,[CODE(HTMLa)[[[datafld]]]]     ,       ,       ,データ欄   ,[HTML 4] 予約
,[CODE(HTMLa)[[[dataformatas]]]]        ,       ,       ,データ書式        ,[HTML 4] 予約
,[CODE(HTMLa)[[[datasrc]]]]     ,[CODE(SGML)[%[[URI]]]] ,(なし)       ,データ源   ,[HTML 4] 予約
,[CODE(HTMLa)[[[dir]]]] ,       ,       ,[[書字方向]]       ,[HTML 4] %[[i18n]]
,[CODE(HTMLa)[[[disabled]]]]    ,(真偽値属性)      ,(偽)  ,無効 ,[HTML 4]
,[CODE(HTMLa)[[[id]]]]  ,       ,       ,一意識別子        ,[HTML 4] %coreattrs
,[CODE(HTMLa)[[[lang]]]]        ,       ,       ,[[自然言語]]       ,[HTML 4] %i18n
,[CODE(HTMLa)[[[xml]]:lang]]    ,       ,       ,自然言語   ,[XHTML 1]
,[CODE(HTMLa)[[[language]]]]    ,       ,       ,スクリプト言語  ,[[WinIE 4]]+
,[CODE(HTMLa)[[[name]]]]        ,       ,       ,制御子名   ,[HTML 4]
,[CODE(HTMLa)[[[onblur]]]]      ,[CODE(SGML)[%[[Script]]]]      ,       ,焦点を失した時  ,[HTML 4]
,[CODE(HTMLa)[[[onchange]]]]    ,[CODE(SGML)[%[[Script]]]]      ,       ,現在値変更時     ,[HTML 4]
,[CODE(HTMLa)[[[onclick]]]]     ,       ,       ,       ,[HTML 4] %[[events]]
,[CODE(HTMLa)[[[ondblclick]]]]  ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onfocus]]]]     ,[CODE(SGML)[%[[Script]]]]      ,       ,焦点を得た時     ,[HTML 4]
,[CODE(HTMLa)[[[onkeydown]]]]   ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onkeypress]]]]  ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onkeyup]]]]     ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onmousedown]]]] ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onmousemove]]]] ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onmouseout]]]]  ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onmouseover]]]] ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onmouseup]]]]   ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[style]]]]       ,       ,       ,スタイル情報     ,[HTML 4] %coreattrs
,[CODE(HTMLa)[[[title]]]]       ,       ,       ,注釈的題   ,[HTML 4] %coreattrs
,[CODE(HTMLa)[[[type]]]]        ,'''hidden'''   ,[CODE(HTML)[[[text]]]] ,制御子の種類     ,[HTML 4]
,[CODE(HTMLa)[[[value]]]]       ,       ,       ,初期値      ,[HTML 4]

[[#comment]]


* 文脈

[8]
[[Web Forms 2.0]] では、
[[ブロック水準要素]]が認められる場所でも、
[[行内水準内容]]が認められる場所でも、
どちらにも置くことができます。
[SRC@en[WF2 2.3]]

[[#comment]]


* UA による利用

[4] 隠れ制御子は[[レンダリング]]しませんが、
フォームを[[提出]]するときには含まれます。


[9]
あああ
([[あああ]] [あああ] [WEAK[2007-03-15 02:15:49 +00:00]])


[[#comment]]


* 安全性

[7] 隠し制御子を使うと、利用者が気付かないようにデータを送信させることができます。
基本的には鯖から送られたデータを送り返すだけですから、
普通は問題になりません。しかし、
他のものの組合せ方次第で危険なことも実現できてしまう虞があります。

例えば、スクリプトを使うと隠し制御子の[[現在値]]を変更できるかもしれません。
もしその UA でスクリプトからの access の制御が正しく行われていないと、
重要な情報を利用者に確認せずに送信させてしまうかもしれません。

また、以前に利用者が入力した個人情報などを鯖が隠し制御子として送り返し、
他の鯖に (そうと気付かせずに) 再送信させるかもしれません。
利用者や UA の設計者は十分な注意が必要でしょう。

[[#comment]]


* メモ

[5] [[HTTP]] のような状態を持たないプロトコルで、
状態を保持するための手段として隠れ制御子は有用です。
(なお、状態を保持するための手段としては他に [[Cookie]]
や鯖側で[[セッション]]管理を行う方法などがあり、
状態の重要度・機密度や利用する環境などによって適宜使い分けられています。)

[6] フォームで提出する [[charset]] を明示する方法の一種として、
隠れ制御子を使った [[_charset_]] hack と呼ばれる方法が多くの [[UA]]
や[[フォーム処理エージェント]]で実装されています。

[10] [CITE[About <input type="hidden">]] ([[Ian Hickson <ian@...>]] 著, [TIME[2008-11-12 01:11:19 +09:00]] 版) <http://permalink.gmane.org/gmane.org.w3c.whatwg.discuss/16446>

[11] [CITE[IRC logs: freenode / #whatwg / 20100106]]
([TIME[2010-01-07 23:50:02 +09:00]] 版)
<http://krijnhoetmer.nl/irc-logs/whatwg/20100106#l-365>

[12] [CITE@en-us[hidden Property (EMBED, HTMLEmbedElement Constructor)]]
([TIME[2010-03-14 22:58:23 +09:00]] 版)
<http://msdn.microsoft.com/en-us/library/ms533782(VS.85).aspx>
1	wakaba	1.2
2			[1] [[HTML]] の [CODE(HTMLe)[[[input]]]] 要素は、 [CODE(HTMLa)[[[type]]]]
3			属性が [DFN[[CODE(HTML)[hidden]]]] の時、 [DFN[隠れ制御子]]となります。
4
5			[2] 仕様書:
6			- [[HTML 4]] ([[Web Forms 1.0]])
7			-- hidden control <IW:HTML4:"interact/forms.html#hidden-control">
8			-- 17.4 The [CODE(HTMLe)[INPUT]] element
9			<IW:HTML4:"interact/forms.html#edef-INPUT">
10			- [[Web Forms 2.0]]
11			-- [CSECTION@en[2.3. Changes to existing controls]]
12			<IW:WF2:"#changes">
13
14			[3] 属性:
15			,属性名 ,属性値 ,既定値 ,説明 ,出典
16			,[CODE(HTMLa)[[[class]]]] , , ,[[級]] ,[HTML 4] %[[coreattrs]]
17			,[CODE(HTMLa)[[[datafld]]]] , , ,データ欄 ,[HTML 4] 予約
18			,[CODE(HTMLa)[[[dataformatas]]]] , , ,データ書式 ,[HTML 4] 予約
19			,[CODE(HTMLa)[[[datasrc]]]] ,[CODE(SGML)[%[[URI]]]] ,(なし) ,データ源 ,[HTML 4] 予約
20			,[CODE(HTMLa)[[[dir]]]] , , ,[[書字方向]] ,[HTML 4] %[[i18n]]
21			,[CODE(HTMLa)[[[disabled]]]] ,(真偽値属性) ,(偽) ,無効 ,[HTML 4]
22			,[CODE(HTMLa)[[[id]]]] , , ,一意識別子 ,[HTML 4] %coreattrs
23			,[CODE(HTMLa)[[[lang]]]] , , ,[[自然言語]] ,[HTML 4] %i18n
24			,[CODE(HTMLa)[[[xml]]:lang]] , , ,自然言語 ,[XHTML 1]
25			,[CODE(HTMLa)[[[language]]]] , , ,スクリプト言語 ,[[WinIE 4]]+
26			,[CODE(HTMLa)[[[name]]]] , , ,制御子名 ,[HTML 4]
27			,[CODE(HTMLa)[[[onblur]]]] ,[CODE(SGML)[%[[Script]]]] , ,焦点を失した時 ,[HTML 4]
28			,[CODE(HTMLa)[[[onchange]]]] ,[CODE(SGML)[%[[Script]]]] , ,現在値変更時 ,[HTML 4]
29			,[CODE(HTMLa)[[[onclick]]]] , , , ,[HTML 4] %[[events]]
30			,[CODE(HTMLa)[[[ondblclick]]]] , , , ,[HTML 4] %events
31			,[CODE(HTMLa)[[[onfocus]]]] ,[CODE(SGML)[%[[Script]]]] , ,焦点を得た時 ,[HTML 4]
32			,[CODE(HTMLa)[[[onkeydown]]]] , , , ,[HTML 4] %events
33			,[CODE(HTMLa)[[[onkeypress]]]] , , , ,[HTML 4] %events
34			,[CODE(HTMLa)[[[onkeyup]]]] , , , ,[HTML 4] %events
35			,[CODE(HTMLa)[[[onmousedown]]]] , , , ,[HTML 4] %events
36			,[CODE(HTMLa)[[[onmousemove]]]] , , , ,[HTML 4] %events
37			,[CODE(HTMLa)[[[onmouseout]]]] , , , ,[HTML 4] %events
38			,[CODE(HTMLa)[[[onmouseover]]]] , , , ,[HTML 4] %events
39			,[CODE(HTMLa)[[[onmouseup]]]] , , , ,[HTML 4] %events
40			,[CODE(HTMLa)[[[style]]]] , , ,スタイル情報 ,[HTML 4] %coreattrs
41			,[CODE(HTMLa)[[[title]]]] , , ,注釈的題 ,[HTML 4] %coreattrs
42			,[CODE(HTMLa)[[[type]]]] ,'''hidden''' ,[CODE(HTML)[[[text]]]] ,制御子の種類 ,[HTML 4]
43			,[CODE(HTMLa)[[[value]]]] , , ,初期値 ,[HTML 4]
44
45			[[#comment]]
46
47
48			* 文脈
49
50			[8]
51			[[Web Forms 2.0]] では、
52			[[ブロック水準要素]]が認められる場所でも、
53			[[行内水準内容]]が認められる場所でも、
54			どちらにも置くことができます。
55			[SRC@en[WF2 2.3]]
56
57			[[#comment]]
58
59
60			* UA による利用
61
62			[4] 隠れ制御子は[[レンダリング]]しませんが、
63			フォームを[[提出]]するときには含まれます。
64
65
66			[9]
67			あああ
68			([[あああ]] [あああ] [WEAK[2007-03-15 02:15:49 +00:00]])
69
70
71			[[#comment]]
72
73
74			* 安全性
75
76			[7] 隠し制御子を使うと、利用者が気付かないようにデータを送信させることができます。
77			基本的には鯖から送られたデータを送り返すだけですから、
78			普通は問題になりません。しかし、
79			他のものの組合せ方次第で危険なことも実現できてしまう虞があります。
80
81			例えば、スクリプトを使うと隠し制御子の[[現在値]]を変更できるかもしれません。
82			もしその UA でスクリプトからの access の制御が正しく行われていないと、
83			重要な情報を利用者に確認せずに送信させてしまうかもしれません。
84
85			また、以前に利用者が入力した個人情報などを鯖が隠し制御子として送り返し、
86			他の鯖に (そうと気付かせずに) 再送信させるかもしれません。
87			利用者や UA の設計者は十分な注意が必要でしょう。
88
89			[[#comment]]
90
91
92			* メモ
93
94			[5] [[HTTP]] のような状態を持たないプロトコルで、
95			状態を保持するための手段として隠れ制御子は有用です。
96			(なお、状態を保持するための手段としては他に [[Cookie]]
97			や鯖側で[[セッション]]管理を行う方法などがあり、
98			状態の重要度・機密度や利用する環境などによって適宜使い分けられています。)
99
100			[6] フォームで提出する [[charset]] を明示する方法の一種として、
101			隠れ制御子を使った [[_charset_]] hack と呼ばれる方法が多くの [[UA]]
102			や[[フォーム処理エージェント]]で実装されています。
103
104	wakaba	1.3	[10] [CITE[About <input type="hidden">]] ([[Ian Hickson <ian@...>]] 著, [TIME[2008-11-12 01:11:19 +09:00]] 版) <http://permalink.gmane.org/gmane.org.w3c.whatwg.discuss/16446>
105
106			[11] [CITE[IRC logs: freenode / #whatwg / 20100106]]
107			([TIME[2010-01-07 23:50:02 +09:00]] 版)
108	wakaba	1.4	<http://krijnhoetmer.nl/irc-logs/whatwg/20100106#l-365>
109
110			[12] [CITE@en-us[hidden Property (EMBED, HTMLEmbedElement Constructor)]]
111			([TIME[2010-03-14 22:58:23 +09:00]] 版)
112			<http://msdn.microsoft.com/en-us/library/ms533782(VS.85).aspx>