Google 在愚人節時拿出養很久不知道做什麼的 domain 出來用:「https://com.google/」,但也因此造成了安全性問題:「Google’s April Fool’s prank inadvertently broke their security」。
問題在於正常的 Google 頁面有這個 HTTP header 可以避免 iframe (以及 clickjacking):
X-Frame-Options: SAMEORIGIN
但在加上 igu=2
的參數後不會有這個 HTTP header。雖然現在已經失效了,但當天也被 Netcraft 通報 XD