2
Help us understand the problem. What are the problem?

More than 5 years have passed since last update.

posted at

updated at

同一生成元(同一オリジン)ポリシー

同一生成元ポリシーとは?

同一生成元ポリシー(Same Origin Policy(SOP))は1つの生成元からロードしたスクリプトによって別の生成元の文書内のプロパティーやメソッドが取得または操作されるのを防止するためのものである。
ユーザーがプロバイダとやり取りする場合、そのユーザーはそのサイトに送信された情報が他のサイトに漏れてしまうことを望まないという考え方に基づき、ユーザの情報を保護するためにある。

同一生成元であることの条件

同一生成元であるということは以下の条件を満たすことである。

  • スキーム(プロトコル)が一致している。
  • ホスト(FQDN; Fully Qualified Domain Name)が一致している。
  • ポート番号が一致している。

例)
http://hogehogehoge.com/index.html
このURLと以下のURLが同一生成元なのかどうか見てみる。
http://hogehogehoge.com:80ーーーー>同じ
http://hogehogehoge.com/dir/page1.htmlーーーー>同じ
https://hogehogehoge.com/index.htmlーーーー>スキームが違うので違う
http://hogehogehoge.com:81ーーーー>ポートが違うので違う
http://ufufu.com/index.htmlーーーー>ホストが違うので違う

同一生成元ではない場合、制限されること

同一生成元ポリシーによって、たとえば生成元Aと生成元Bがある場合、生成元AのWEBページでは以下の事ができない。

  • 生成元BへのXMLHttpRequestを使用した通信
  • frame/iframeの、生成元Bから生成されたコンテンツの読み取り、操作

Register as a new user and use Qiita more conveniently

  1. You can follow users and tags
  2. you can stock useful information
  3. You can make editorial suggestions for articles
What you can do with signing up
2
Help us understand the problem. What are the problem?