この記事は以下の書籍を参考にして執筆しました。
ブラウザ側のセキュリティ
サンドボックス
サンドボックスの中ではプログラムができることが制限されいる。
- ローカルファイルへのアクセス禁止
- プリンタなどの資源の利用禁止(画面表示は可能)
- ネットワークアクセスの制限(同一オリジンポリシー)
同一オリジンポリシー
サイトをまたがったアクセスを禁止する
XMLHttpRequestでは相手の許可があれば同一オリジンでなくても通信できるCORSという規格が策定された。
アプリケーション脆弱性と受動的攻撃
XSS
iframeの外側のjavascriptで内側をアクセスすると同一オリジンポリシー違反だが
何らかの方法でiframeの内側にjavascriptを送り込んで実行させたらどうか
内側ならポリシー違反にならないため、アクセスができる。
これがクロス・サイトスクリプティング(XSS)