ids/2/802.txt


[1] [[HTML]] の [CODE(HTMLe)[[[input]]]] 要素は、 [CODE(HTMLa)[[[type]]]]
属性が [DFN[[CODE(HTML)[hidden]]]] の時、 [DFN[隠れ制御子]]となります。

[2] 仕様書: 
- [[HTML 4]] ([[Web Forms 1.0]])
-- hidden control <IW:HTML4:"interact/forms.html#hidden-control">
-- 17.4 The [CODE(HTMLe)[INPUT]] element
<IW:HTML4:"interact/forms.html#edef-INPUT">
- [[Web Forms 2.0]]
-- [CSECTION@en[2.3. Changes to existing controls]]
<IW:WF2:"#changes">

[3] 属性:
,属性名      ,属性値      ,既定値      ,説明 ,出典
,[CODE(HTMLa)[[[class]]]]       ,       ,       ,[[級]]        ,[HTML 4] %[[coreattrs]]
,[CODE(HTMLa)[[[datafld]]]]     ,       ,       ,データ欄   ,[HTML 4] 予約
,[CODE(HTMLa)[[[dataformatas]]]]        ,       ,       ,データ書式        ,[HTML 4] 予約
,[CODE(HTMLa)[[[datasrc]]]]     ,[CODE(SGML)[%[[URI]]]] ,(なし)       ,データ源   ,[HTML 4] 予約
,[CODE(HTMLa)[[[dir]]]] ,       ,       ,[[書字方向]]       ,[HTML 4] %[[i18n]]
,[CODE(HTMLa)[[[disabled]]]]    ,(真偽値属性)      ,(偽)  ,無効 ,[HTML 4]
,[CODE(HTMLa)[[[id]]]]  ,       ,       ,一意識別子        ,[HTML 4] %coreattrs
,[CODE(HTMLa)[[[lang]]]]        ,       ,       ,[[自然言語]]       ,[HTML 4] %i18n
,[CODE(HTMLa)[[[xml]]:lang]]    ,       ,       ,自然言語   ,[XHTML 1]
,[CODE(HTMLa)[[[language]]]]    ,       ,       ,スクリプト言語  ,[[WinIE 4]]+
,[CODE(HTMLa)[[[name]]]]        ,       ,       ,制御子名   ,[HTML 4]
,[CODE(HTMLa)[[[onblur]]]]      ,[CODE(SGML)[%[[Script]]]]      ,       ,焦点を失した時  ,[HTML 4]
,[CODE(HTMLa)[[[onchange]]]]    ,[CODE(SGML)[%[[Script]]]]      ,       ,現在値変更時     ,[HTML 4]
,[CODE(HTMLa)[[[onclick]]]]     ,       ,       ,       ,[HTML 4] %[[events]]
,[CODE(HTMLa)[[[ondblclick]]]]  ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onfocus]]]]     ,[CODE(SGML)[%[[Script]]]]      ,       ,焦点を得た時     ,[HTML 4]
,[CODE(HTMLa)[[[onkeydown]]]]   ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onkeypress]]]]  ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onkeyup]]]]     ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onmousedown]]]] ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onmousemove]]]] ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onmouseout]]]]  ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onmouseover]]]] ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[onmouseup]]]]   ,       ,       ,       ,[HTML 4] %events
,[CODE(HTMLa)[[[style]]]]       ,       ,       ,スタイル情報     ,[HTML 4] %coreattrs
,[CODE(HTMLa)[[[title]]]]       ,       ,       ,注釈的題   ,[HTML 4] %coreattrs
,[CODE(HTMLa)[[[type]]]]        ,'''hidden'''   ,[CODE(HTML)[[[text]]]] ,制御子の種類     ,[HTML 4]
,[CODE(HTMLa)[[[value]]]]       ,       ,       ,初期値      ,[HTML 4]

[[#comment]]


* 文脈

[8]
[[Web Forms 2.0]] では、
[[ブロック水準要素]]が認められる場所でも、
[[行内水準内容]]が認められる場所でも、
どちらにも置くことができます。
[SRC@en[WF2 2.3]]

[[#comment]]


* UA による利用

[4] 隠れ制御子は[[レンダリング]]しませんが、
フォームを[[提出]]するときには含まれます。


[9]
あああ
([[あああ]] [あああ] [WEAK[2007-03-15 02:15:49 +00:00]])


[[#comment]]


* 安全性

[7] 隠し制御子を使うと、利用者が気付かないようにデータを送信させることができます。
基本的には鯖から送られたデータを送り返すだけですから、
普通は問題になりません。しかし、
他のものの組合せ方次第で危険なことも実現できてしまう虞があります。

例えば、スクリプトを使うと隠し制御子の[[現在値]]を変更できるかもしれません。
もしその UA でスクリプトからの access の制御が正しく行われていないと、
重要な情報を利用者に確認せずに送信させてしまうかもしれません。

また、以前に利用者が入力した個人情報などを鯖が隠し制御子として送り返し、
他の鯖に (そうと気付かせずに) 再送信させるかもしれません。
利用者や UA の設計者は十分な注意が必要でしょう。

[[#comment]]


* メモ

[5] [[HTTP]] のような状態を持たないプロトコルで、
状態を保持するための手段として隠れ制御子は有用です。
(なお、状態を保持するための手段としては他に [[Cookie]]
や鯖側で[[セッション]]管理を行う方法などがあり、
状態の重要度・機密度や利用する環境などによって適宜使い分けられています。)

[6] フォームで提出する [[charset]] を明示する方法の一種として、
隠れ制御子を使った [[_charset_]] hack と呼ばれる方法が多くの [[UA]]
や[[フォーム処理エージェント]]で実装されています。

[10] [CITE[About <input type="hidden">]] ([[Ian Hickson <ian@...>]] 著, [TIME[2008-11-12 01:11:19 +09:00]] 版) <http://permalink.gmane.org/gmane.org.w3c.whatwg.discuss/16446>

[11] [CITE[IRC logs: freenode / #whatwg / 20100106]]
([TIME[2010-01-07 23:50:02 +09:00]] 版)
<http://krijnhoetmer.nl/irc-logs/whatwg/20100106#l-365>

[12] [CITE@en-us[hidden Property (EMBED, HTMLEmbedElement Constructor)]]
([TIME[2010-03-14 22:58:23 +09:00]] 版)
<http://msdn.microsoft.com/en-us/library/ms533782(VS.85).aspx>

[13] [CITE@en[Safari Dev Center: Safari HTML Reference: Supported Attributes]]
([TIME[2010-03-20 17:49:52 +09:00]] 版)
<http://developer.apple.com/safari/library/documentation/AppleApplications/Reference/SafariHTMLRef/Articles/Attributes.html#//apple_ref/html/attribute/hidden>

[14] [CITE@en[Web Applications 1.0 r6895   Tweak hidden='''s definition a bit to be more consistent with likely usage scenarios.]]
( ([TIME[2012-01-14 07:11:00 +09:00]] 版))
<http://html5.org/tools/web-apps-tracker?from=6894&to=6895>

[15] [CITE@en[Web Applications 1.0 r7284  Ignore hidden='' elements in outlines.]]
( ([TIME[2012-08-28 05:04:00 +09:00]] 版))
<http://html5.org/tools/web-apps-tracker?from=7283&to=7284>

[16] [CITE[IRC logs: freenode / #whatwg / 20121006]]
( ([TIME[2012-10-11 21:31:55 +09:00]] 版))
<http://krijnhoetmer.nl/irc-logs/whatwg/20121006>

[17] [CITE@en[Web Applications 1.0 r7453     Improve compatibility for <embed hidden>]]
( ([TIME[2012-10-12 04:55:00 +09:00]] 版))
<http://html5.org/tools/web-apps-tracker?from=7452&to=7453>

[18] [CITE[''''''[''''''whatwg'''''']'''''' hidden="" should be "display:none !important" in the UA stylesheet]]
( ([TIME[2012-11-14 08:04:25 +09:00]] 版))
<http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2012-November/037907.html>

[19] [CITE@en[Web Applications 1.0 r7765     <input type=hidden> doesn't ever render]]
( ([TIME[2013-03-22 07:43:00 +09:00]] 版))
<http://html5.org/tools/web-apps-tracker?from=7764&to=7765>

[20] [CITE@en[Web Applications 1.0 r4846   Cover more possible misuses for hidden=''. Anyone got good suggestions of short examples where hidden='' is useful? All the examples I can think of are huge...]]
( ([TIME[2010-03-13 09:37:00 +09:00]] 版))
<http://html5.org/tools/web-apps-tracker?from=4845&to=4846>

[21] [CITE@en-US[Accessible Rich Internet Applications (WAI-ARIA) 1.0]]
( ([TIME[2014-01-14 16:21:51 +09:00]] 版))
<http://www.w3.org/WAI/PF/aria/complete#def_hidden>

[22] [CITE[ncsa-mosaic/CHANGES at master · alandipert/ncsa-mosaic]]
( ([TIME[2014-04-07 05:27:39 +09:00]] 版))
<https://github.com/alandipert/ncsa-mosaic/blob/master/CHANGES#L116>
1
2	[1] [[HTML]] の [CODE(HTMLe)[[[input]]]] 要素は、 [CODE(HTMLa)[[[type]]]]
3	属性が [DFN[[CODE(HTML)[hidden]]]] の時、 [DFN[隠れ制御子]]となります。
4
5	[2] 仕様書:
6	- [[HTML 4]] ([[Web Forms 1.0]])
7	-- hidden control <IW:HTML4:"interact/forms.html#hidden-control">
8	-- 17.4 The [CODE(HTMLe)[INPUT]] element
9	<IW:HTML4:"interact/forms.html#edef-INPUT">
10	- [[Web Forms 2.0]]
11	-- [CSECTION@en[2.3. Changes to existing controls]]
12	<IW:WF2:"#changes">
13
14	[3] 属性:
15	,属性名 ,属性値 ,既定値 ,説明 ,出典
16	,[CODE(HTMLa)[[[class]]]] , , ,[[級]] ,[HTML 4] %[[coreattrs]]
17	,[CODE(HTMLa)[[[datafld]]]] , , ,データ欄 ,[HTML 4] 予約
18	,[CODE(HTMLa)[[[dataformatas]]]] , , ,データ書式 ,[HTML 4] 予約
19	,[CODE(HTMLa)[[[datasrc]]]] ,[CODE(SGML)[%[[URI]]]] ,(なし) ,データ源 ,[HTML 4] 予約
20	,[CODE(HTMLa)[[[dir]]]] , , ,[[書字方向]] ,[HTML 4] %[[i18n]]
21	,[CODE(HTMLa)[[[disabled]]]] ,(真偽値属性) ,(偽) ,無効 ,[HTML 4]
22	,[CODE(HTMLa)[[[id]]]] , , ,一意識別子 ,[HTML 4] %coreattrs
23	,[CODE(HTMLa)[[[lang]]]] , , ,[[自然言語]] ,[HTML 4] %i18n
24	,[CODE(HTMLa)[[[xml]]:lang]] , , ,自然言語 ,[XHTML 1]
25	,[CODE(HTMLa)[[[language]]]] , , ,スクリプト言語 ,[[WinIE 4]]+
26	,[CODE(HTMLa)[[[name]]]] , , ,制御子名 ,[HTML 4]
27	,[CODE(HTMLa)[[[onblur]]]] ,[CODE(SGML)[%[[Script]]]] , ,焦点を失した時 ,[HTML 4]
28	,[CODE(HTMLa)[[[onchange]]]] ,[CODE(SGML)[%[[Script]]]] , ,現在値変更時 ,[HTML 4]
29	,[CODE(HTMLa)[[[onclick]]]] , , , ,[HTML 4] %[[events]]
30	,[CODE(HTMLa)[[[ondblclick]]]] , , , ,[HTML 4] %events
31	,[CODE(HTMLa)[[[onfocus]]]] ,[CODE(SGML)[%[[Script]]]] , ,焦点を得た時 ,[HTML 4]
32	,[CODE(HTMLa)[[[onkeydown]]]] , , , ,[HTML 4] %events
33	,[CODE(HTMLa)[[[onkeypress]]]] , , , ,[HTML 4] %events
34	,[CODE(HTMLa)[[[onkeyup]]]] , , , ,[HTML 4] %events
35	,[CODE(HTMLa)[[[onmousedown]]]] , , , ,[HTML 4] %events
36	,[CODE(HTMLa)[[[onmousemove]]]] , , , ,[HTML 4] %events
37	,[CODE(HTMLa)[[[onmouseout]]]] , , , ,[HTML 4] %events
38	,[CODE(HTMLa)[[[onmouseover]]]] , , , ,[HTML 4] %events
39	,[CODE(HTMLa)[[[onmouseup]]]] , , , ,[HTML 4] %events
40	,[CODE(HTMLa)[[[style]]]] , , ,スタイル情報 ,[HTML 4] %coreattrs
41	,[CODE(HTMLa)[[[title]]]] , , ,注釈的題 ,[HTML 4] %coreattrs
42	,[CODE(HTMLa)[[[type]]]] ,'''hidden''' ,[CODE(HTML)[[[text]]]] ,制御子の種類 ,[HTML 4]
43	,[CODE(HTMLa)[[[value]]]] , , ,初期値 ,[HTML 4]
44
45	[[#comment]]
46
47
48	* 文脈
49
50	[8]
51	[[Web Forms 2.0]] では、
52	[[ブロック水準要素]]が認められる場所でも、
53	[[行内水準内容]]が認められる場所でも、
54	どちらにも置くことができます。
55	[SRC@en[WF2 2.3]]
56
57	[[#comment]]
58
59
60	* UA による利用
61
62	[4] 隠れ制御子は[[レンダリング]]しませんが、
63	フォームを[[提出]]するときには含まれます。
64
65
66	[9]
67	あああ
68	([[あああ]] [あああ] [WEAK[2007-03-15 02:15:49 +00:00]])
69
70
71	[[#comment]]
72
73
74	* 安全性
75
76	[7] 隠し制御子を使うと、利用者が気付かないようにデータを送信させることができます。
77	基本的には鯖から送られたデータを送り返すだけですから、
78	普通は問題になりません。しかし、
79	他のものの組合せ方次第で危険なことも実現できてしまう虞があります。
80
81	例えば、スクリプトを使うと隠し制御子の[[現在値]]を変更できるかもしれません。
82	もしその UA でスクリプトからの access の制御が正しく行われていないと、
83	重要な情報を利用者に確認せずに送信させてしまうかもしれません。
84
85	また、以前に利用者が入力した個人情報などを鯖が隠し制御子として送り返し、
86	他の鯖に (そうと気付かせずに) 再送信させるかもしれません。
87	利用者や UA の設計者は十分な注意が必要でしょう。
88
89	[[#comment]]
90
91
92	* メモ
93
94	[5] [[HTTP]] のような状態を持たないプロトコルで、
95	状態を保持するための手段として隠れ制御子は有用です。
96	(なお、状態を保持するための手段としては他に [[Cookie]]
97	や鯖側で[[セッション]]管理を行う方法などがあり、
98	状態の重要度・機密度や利用する環境などによって適宜使い分けられています。)
99
100	[6] フォームで提出する [[charset]] を明示する方法の一種として、
101	隠れ制御子を使った [[_charset_]] hack と呼ばれる方法が多くの [[UA]]
102	や[[フォーム処理エージェント]]で実装されています。
103
104	[10] [CITE[About <input type="hidden">]] ([[Ian Hickson <ian@...>]] 著, [TIME[2008-11-12 01:11:19 +09:00]] 版) <http://permalink.gmane.org/gmane.org.w3c.whatwg.discuss/16446>
105
106	[11] [CITE[IRC logs: freenode / #whatwg / 20100106]]
107	([TIME[2010-01-07 23:50:02 +09:00]] 版)
108	<http://krijnhoetmer.nl/irc-logs/whatwg/20100106#l-365>
109
110	[12] [CITE@en-us[hidden Property (EMBED, HTMLEmbedElement Constructor)]]
111	([TIME[2010-03-14 22:58:23 +09:00]] 版)
112	<http://msdn.microsoft.com/en-us/library/ms533782(VS.85).aspx>
113
114	[13] [CITE@en[Safari Dev Center: Safari HTML Reference: Supported Attributes]]
115	([TIME[2010-03-20 17:49:52 +09:00]] 版)
116	<http://developer.apple.com/safari/library/documentation/AppleApplications/Reference/SafariHTMLRef/Articles/Attributes.html#//apple_ref/html/attribute/hidden>
117
118	[14] [CITE@en[Web Applications 1.0 r6895 Tweak hidden='''s definition a bit to be more consistent with likely usage scenarios.]]
119	( ([TIME[2012-01-14 07:11:00 +09:00]] 版))
120	<http://html5.org/tools/web-apps-tracker?from=6894&to=6895>
121
122	[15] [CITE@en[Web Applications 1.0 r7284 Ignore hidden='' elements in outlines.]]
123	( ([TIME[2012-08-28 05:04:00 +09:00]] 版))
124	<http://html5.org/tools/web-apps-tracker?from=7283&to=7284>
125
126	[16] [CITE[IRC logs: freenode / #whatwg / 20121006]]
127	( ([TIME[2012-10-11 21:31:55 +09:00]] 版))
128	<http://krijnhoetmer.nl/irc-logs/whatwg/20121006>
129
130	[17] [CITE@en[Web Applications 1.0 r7453 Improve compatibility for <embed hidden>]]
131	( ([TIME[2012-10-12 04:55:00 +09:00]] 版))
132	<http://html5.org/tools/web-apps-tracker?from=7452&to=7453>
133
134	[18] [CITE[''''''[''''''whatwg'''''']'''''' hidden="" should be "display:none !important" in the UA stylesheet]]
135	( ([TIME[2012-11-14 08:04:25 +09:00]] 版))
136	<http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2012-November/037907.html>
137
138	[19] [CITE@en[Web Applications 1.0 r7765 <input type=hidden> doesn't ever render]]
139	( ([TIME[2013-03-22 07:43:00 +09:00]] 版))
140	<http://html5.org/tools/web-apps-tracker?from=7764&to=7765>
141
142	[20] [CITE@en[Web Applications 1.0 r4846 Cover more possible misuses for hidden=''. Anyone got good suggestions of short examples where hidden='' is useful? All the examples I can think of are huge...]]
143	( ([TIME[2010-03-13 09:37:00 +09:00]] 版))
144	<http://html5.org/tools/web-apps-tracker?from=4845&to=4846>
145
146	[21] [CITE@en-US[Accessible Rich Internet Applications (WAI-ARIA) 1.0]]
147	( ([TIME[2014-01-14 16:21:51 +09:00]] 版))
148	<http://www.w3.org/WAI/PF/aria/complete#def_hidden>
149
150	[22] [CITE[ncsa-mosaic/CHANGES at master · alandipert/ncsa-mosaic]]
151	( ([TIME[2014-04-07 05:27:39 +09:00]] 版))
152	<https://github.com/alandipert/ncsa-mosaic/blob/master/CHANGES#L116>