Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
Help us understand the problem. What is going on with this article?

同一生成元(同一オリジン)ポリシー

More than 3 years have passed since last update.

同一生成元ポリシーとは?

同一生成元ポリシー(Same Origin Policy(SOP))は1つの生成元からロードしたスクリプトによって別の生成元の文書内のプロパティーやメソッドが取得または操作されるのを防止するためのものである。
ユーザーがプロバイダとやり取りする場合、そのユーザーはそのサイトに送信された情報が他のサイトに漏れてしまうことを望まないという考え方に基づき、ユーザの情報を保護するためにある。

同一生成元であることの条件

同一生成元であるということは以下の条件を満たすことである。

  • スキーム(プロトコル)が一致している。
  • ホスト(FQDN; Fully Qualified Domain Name)が一致している。
  • ポート番号が一致している。

例)
http://hogehogehoge.com/index.html
このURLと以下のURLが同一生成元なのかどうか見てみる。
http://hogehogehoge.com:80ーーーー>同じ
http://hogehogehoge.com/dir/page1.htmlーーーー>同じ
https://hogehogehoge.com/index.htmlーーーー>スキームが違うので違う
http://hogehogehoge.com:81ーーーー>ポートが違うので違う
http://ufufu.com/index.htmlーーーー>ホストが違うので違う

同一生成元ではない場合、制限されること

同一生成元ポリシーによって、たとえば生成元Aと生成元Bがある場合、生成元AのWEBページでは以下の事ができない。

  • 生成元BへのXMLHttpRequestを使用した通信
  • frame/iframeの、生成元Bから生成されたコンテンツの読み取り、操作
OTAGRAMER
備忘録として会社で学んだことを記録します。 あやふやな箇所が多いかもしれませんが、そんなときはビシッと指摘くださると幸いです。
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away