ブログで使われるブログパーツや、マッシュアップ、Webガジェットなど最近では外部のコンテンツを様々な方法で自分のWebサイトに取り込んで表示するようになっている。その際に用いられる技術は幾つかあるが、iframeを使ったものがよく知られている。

安全なWebガジェットに自動変換する

iframeは全く関係のないコンテンツを表示するのに便利な仕組みではあるが、その便利さゆえに悪用される可能性も高い。そのような悪用を防止しつつ外部コンテンツとのつながりを楽しめる技術がWeb Sandboxだ。

今回紹介するオープンソース・ソフトウェアはWeb Sandbox、マイクロソフト社の開発したコンテンツ配信ライブラリだ。

Web SandboxはJavaScriptやSilverlightを使ったWebガジェットをセキュアにするためのライブラリだ。ガジェットの内容をサーバサイドで自動的に書き換えて配信したり、クライアントサイドで書き換え（要Silverlight）た上で配信する。これにより危険なコードなどを回避することができるようになる。なお、現状ではサーバサイド版は公開されておらず、websandbox-code.orgのサーバに一度コードを渡して表示する形式になっている（将来的にサーバ版も公開予定）。

左が元のコード。右が変換されたガジェット向けコード

例えばlocation.hrefやdocument.cookieは利用できなくなる。JavaScriptやCSSのコードはWeb Sandboxによって書き換えられるのが、元々の動作は保証される（当たり前だが）。セキュリティに触れるようなコードがあれば、エラーになる。

Web Sandboxを使えば、自社サービス内にWebガジェットの仕組みを導入するのが容易になる。それによって開発者とユーザとがもっと利便性を高められるようになる。グループウェアやCMS、SNSなど様々なサービスでの利用が考えられるだろう。

興味深いのはマイクロソフト社でありながらApache License 2.0でリリースしている点だろう。Web技術は発展が速いので、開発者のフィードバックをよりよく得られるようにするための配慮かも知れない。情報が蓄積されていけば、Webガジェットサービスも開発しやすくなるだろう。

via 米Microsoft、Webコンテンツセキュリティ技術「Web Sandbox」をオープンソースに [SourceForge.JP Magazine]

WebSandbox - Microsoft Live Labs

　http://websandbox.livelabs.com/