ids/0/76.txt



* フォーム (HTML, XHTML 1)

[1] [ABBR[[[HTML]]] [ハイパーテキスト・マーク付け言語]] 
の[DFN[[RUBYB[フォーム] [form]]]]とは、
通常の[[内容]]、[[マーク]]、[DFN[[RUBY[[[制御子]]] [コントロール] [control]]]]と呼ぶ特殊な要素、
制御子の[RUBY[[[札]]] [ラベル]]からなる文書の部分です。
[[利用者]]は普通、制御子を編集することによってフォームを[Q[埋]]めてから、
フォームを提出します。

[2] 仕様書:
- [[HTML 4]]
-- [CITE[Forms in HTML documents]] <IW:HTML4:"interact/forms.html">
-- [CITE[B.6 Notes on forms]]
<IW:HTML4:"appendix/notes.html#notes-forms">
-- [CITE[B.10 Notes on security]]
<IW:HTML4:"appendix/notes.html#notes-security">

[3]
:フォームの[RUBY[[[再設定]]] [リセット] [reset]]:
フォームを再設定すると、[[制御子]]の[[現在値]]は[[初期値]]に戻されます。
初期値がない時の挙動は未定義です。 [SRC[HTML 4 17.2]]
:フォームの[RUBYB[[[提出]]] [submit]]:
フォームを提出すると、[[成功]]制御子の名前と現在値の組が[DFN[フォーム処理エージェント]]に渡されます。
[SRC[HTML 4 17.2, 17.13]]

[[#comment]]


** 歴史

[4] ウェブのフォームのおおよその進化の過程:
[PRE[
         簡易版フォーム      完全版フォーム      追加機能              関連規格
                                                 isindex
                             HTML+
                               ↓
                             HTML 3
          HTML 2.0  ←←←← (I-D, W3C WD)       file upload
          (RFC 1866)           ↓                (RFC 1867)
            ↓  ↓             ↓                keygen (NN)
      HTML 3.2  HTML 2.x       ↓
     (W3C Rec)  (RFC 2070)→ HTML 4 (Web Forms 1.0)
         ↓                  (W3C Rec)           device-upload
         ↓                    ↓                (W3C Submission)
         ↓                  XHTML 1.0           自動補完 (WinIE 他)   ime-mode (WinIE)
         ↓                  (W3C Rec)           入力制御 (携帯電話)
    Basic        XHTML m12n    ↓                                       XForms 1.0
    Forms Module  (W3C Rec)  Forms Module                               (W3C Rec)
                               ↓
                             Web Forms 2.0                              CSS3
                             (WHAT WD)                                  (W3C Drafts)
]PRE]

[[#comment]]


** レンダリング

[5]
[[WWWブラウザ]]が頁を読み込みながら徐々に[[レンダリング]]していると、
その頁に含まれるフォームも当然徐々にレンダリングされていくことになります。
しかし、 [ABBR[[[UA]]] [[[利用者エージェント]]]] は、
フォーム全体をレンダリングするまで[[利用者]]がフォームを[[提出]]できないようにするべきです。
[[クライアント側スクリプト]]が使われている時にも、
フォームの絡みでうまく動作しなくなる虞があります。
[SRC[HTML 4 B.6.1]]

また、タブ移動 ([CODE(HTMLa)[[[tabindex]]]]) にも注意が必要です。
[SRC[HTML 4 B.6.1]]

[[#comment]]


** 法律に関して

[6] フォーム自体は純粋に技術ですが、そのフォームの使い方により[[法律]]に関する問題が関係することがよくあります。
例えば、[[日本国]]の法律が適用される場合、
[[個人情報]]を扱うのであれば[[個人情報保護法]]に注意する必要があります。
また、[[通信販売]]等の[[商取引]]の目的で使用するのであれば、
[[特定商取引に関する法律]]に基づく表示が必要かもしれません。

[[鯖]]や[[事業者]]や[[利用者]] ([[顧客]]) の所在地など、場合によっては複数の[[国]]・
[[地域]]の[[法律]]や[[条例]]などの対象になることがあるかもしれません。

[[#comment]]


** 安全性に関して

[7]
'''なりすまし''':
[[フォーム]]が含まれる部分を特定の 
[WEAK[(信頼できると思われている有名企業や公的機関、あるいは銀行や通販サイトなどの)]]
[[Webサイト]]の構成や特定のシステム
([[Webブラウザ]]や[[オペレーティング・システム]]の機能など)
の[[画面]]に見せかけたりして、実際の怪しい情報送信先を偽る手口が取られることがよくあります。
[WEAK[(一般に[[利用者]]が常にあらゆることに注意を払い続けることは困難なので、[[フォーム]]ではなく単純な[[リンク]]を用意するだけでも怪しい [[Web頁]]への誘導に十分利用可能です。)]]

[[Web]] が普及して多くの (知識の乏しい) 人も利用するようになったり、
[[商取引]]に利用されることが多くなったりしたこともあり、
近年このような[Q[[[なりすまし]]]]行為の温床となる機能や実装方法自体も
[[Webブラウザ]]等の[[脆弱性]]とみなされるようになっています。

しかし、単体の [[Webブラウザ]]の対策は進んでいますが、
仕様上回避不能な場合もありますし、 [[Webブラウザ]]以外の用途が主のソフトウェアに
[[Webブラウザ]]機能が組込まれている場合は対策が十分でないこともあります。

特に問題が起こり得ると考えられるのは[[電子メイル]]で
[[HTML]] などの[[フォーム]]を利用した場合です。
[[電子メイル]]の送信元情報などは容易に詐称可能なことや、
[[フォーム]]の[[提出]]先の情報を明示しない実装が一般的なことから、
信頼できる送信元からの情報提供依頼に偽装し、
しかも (知識の乏しい) 閲覧者に信頼させることが比較的容易です。

[8]
[[電子メイル]]に[[フォーム]]を含めて送信し、
[[受信者]]に[[提出]]させる方法は現在のところ然程使われていませんから、
[[電子メイル]]の[[利用者エージェント]]は[[フォーム]]を無効にするのがよいかもしれません。
ただ、正しく使えば非常に有益な機能なだけに、
安全対策のために利用できなくなるのは残念なことでもあります。

[[#comment]]


** メモ

[[#comment]]


* メモ

[9]
[Q[[CODE[*]] がついた項目は必須です]]のようになってることが多い中、逆に[Q[[CODE[*]] がついた項目は任意です]]なこともあって紛らわしい。

([[名無しさん]] [WEAK[2006-10-30 23:57:10 +00:00]])

1
2
3	* フォーム (HTML, XHTML 1)
4
5	[1] [ABBR[[[HTML]]] [ハイパーテキスト・マーク付け言語]]
6	の[DFN[[RUBYB[フォーム] [form]]]]とは、
7	通常の[[内容]]、[[マーク]]、[DFN[[RUBY[[[制御子]]] [コントロール] [control]]]]と呼ぶ特殊な要素、
8	制御子の[RUBY[[[札]]] [ラベル]]からなる文書の部分です。
9	[[利用者]]は普通、制御子を編集することによってフォームを[Q[埋]]めてから、
10	フォームを提出します。
11
12	[2] 仕様書:
13	- [[HTML 4]]
14	-- [CITE[Forms in HTML documents]] <IW:HTML4:"interact/forms.html">
15	-- [CITE[B.6 Notes on forms]]
16	<IW:HTML4:"appendix/notes.html#notes-forms">
17	-- [CITE[B.10 Notes on security]]
18	<IW:HTML4:"appendix/notes.html#notes-security">
19
20	[3]
21	:フォームの[RUBY[[[再設定]]] [リセット] [reset]]:
22	フォームを再設定すると、[[制御子]]の[[現在値]]は[[初期値]]に戻されます。
23	初期値がない時の挙動は未定義です。 [SRC[HTML 4 17.2]]
24	:フォームの[RUBYB[[[提出]]] [submit]]:
25	フォームを提出すると、[[成功]]制御子の名前と現在値の組が[DFN[フォーム処理エージェント]]に渡されます。
26	[SRC[HTML 4 17.2, 17.13]]
27
28	[[#comment]]
29
30
31	** 歴史
32
33	[4] ウェブのフォームのおおよその進化の過程:
34	[PRE[
35	簡易版フォーム完全版フォーム追加機能関連規格
36	isindex
37	HTML+
38	↓
39	HTML 3
40	HTML 2.0 ←←←← (I-D, W3C WD) file upload
41	(RFC 1866) ↓ (RFC 1867)
42	↓ ↓ ↓ keygen (NN)
43	HTML 3.2 HTML 2.x ↓
44	(W3C Rec) (RFC 2070)→ HTML 4 (Web Forms 1.0)
45	↓ (W3C Rec) device-upload
46	↓ ↓ (W3C Submission)
47	↓ XHTML 1.0 自動補完 (WinIE 他) ime-mode (WinIE)
48	↓ (W3C Rec) 入力制御 (携帯電話)
49	Basic XHTML m12n ↓ XForms 1.0
50	Forms Module (W3C Rec) Forms Module (W3C Rec)
51	↓
52	Web Forms 2.0 CSS3
53	(WHAT WD) (W3C Drafts)
54	]PRE]
55
56	[[#comment]]
57
58
59	** レンダリング
60
61	[5]
62	[[WWWブラウザ]]が頁を読み込みながら徐々に[[レンダリング]]していると、
63	その頁に含まれるフォームも当然徐々にレンダリングされていくことになります。
64	しかし、 [ABBR[[[UA]]] [[[利用者エージェント]]]] は、
65	フォーム全体をレンダリングするまで[[利用者]]がフォームを[[提出]]できないようにするべきです。
66	[[クライアント側スクリプト]]が使われている時にも、
67	フォームの絡みでうまく動作しなくなる虞があります。
68	[SRC[HTML 4 B.6.1]]
69
70	また、タブ移動 ([CODE(HTMLa)[[[tabindex]]]]) にも注意が必要です。
71	[SRC[HTML 4 B.6.1]]
72
73	[[#comment]]
74
75
76	** 法律に関して
77
78	[6] フォーム自体は純粋に技術ですが、そのフォームの使い方により[[法律]]に関する問題が関係することがよくあります。
79	例えば、[[日本国]]の法律が適用される場合、
80	[[個人情報]]を扱うのであれば[[個人情報保護法]]に注意する必要があります。
81	また、[[通信販売]]等の[[商取引]]の目的で使用するのであれば、
82	[[特定商取引に関する法律]]に基づく表示が必要かもしれません。
83
84	[[鯖]]や[[事業者]]や[[利用者]] ([[顧客]]) の所在地など、場合によっては複数の[[国]]・
85	[[地域]]の[[法律]]や[[条例]]などの対象になることがあるかもしれません。
86
87	[[#comment]]
88
89
90	** 安全性に関して
91
92	[7]
93	'''なりすまし''':
94	[[フォーム]]が含まれる部分を特定の
95	[WEAK[(信頼できると思われている有名企業や公的機関、あるいは銀行や通販サイトなどの)]]
96	[[Webサイト]]の構成や特定のシステム
97	([[Webブラウザ]]や[[オペレーティング・システム]]の機能など)
98	の[[画面]]に見せかけたりして、実際の怪しい情報送信先を偽る手口が取られることがよくあります。
99	[WEAK[(一般に[[利用者]]が常にあらゆることに注意を払い続けることは困難なので、[[フォーム]]ではなく単純な[[リンク]]を用意するだけでも怪しい [[Web頁]]への誘導に十分利用可能です。)]]
100
101	[[Web]] が普及して多くの (知識の乏しい) 人も利用するようになったり、
102	[[商取引]]に利用されることが多くなったりしたこともあり、
103	近年このような[Q[[[なりすまし]]]]行為の温床となる機能や実装方法自体も
104	[[Webブラウザ]]等の[[脆弱性]]とみなされるようになっています。
105
106	しかし、単体の [[Webブラウザ]]の対策は進んでいますが、
107	仕様上回避不能な場合もありますし、 [[Webブラウザ]]以外の用途が主のソフトウェアに
108	[[Webブラウザ]]機能が組込まれている場合は対策が十分でないこともあります。
109
110	特に問題が起こり得ると考えられるのは[[電子メイル]]で
111	[[HTML]] などの[[フォーム]]を利用した場合です。
112	[[電子メイル]]の送信元情報などは容易に詐称可能なことや、
113	[[フォーム]]の[[提出]]先の情報を明示しない実装が一般的なことから、
114	信頼できる送信元からの情報提供依頼に偽装し、
115	しかも (知識の乏しい) 閲覧者に信頼させることが比較的容易です。
116
117	[8]
118	[[電子メイル]]に[[フォーム]]を含めて送信し、
119	[[受信者]]に[[提出]]させる方法は現在のところ然程使われていませんから、
120	[[電子メイル]]の[[利用者エージェント]]は[[フォーム]]を無効にするのがよいかもしれません。
121	ただ、正しく使えば非常に有益な機能なだけに、
122	安全対策のために利用できなくなるのは残念なことでもあります。
123
124	[[#comment]]
125
126
127	** メモ
128
129	[[#comment]]
130
131
132	* メモ
133
134	[9]
135	[Q[[CODE[]] がついた項目は必須です]]のようになってることが多い中、逆に[Q[[CODE[]] がついた項目は任意です]]なこともあって紛らわしい。
136
137	([[名無しさん]] [WEAK[2006-10-30 23:57:10 +00:00]])
138