webセキュリティ/Same-Origin_Policyについて、ここに記述してください。
DOM(Javascript)の同一生成元ポリシー
http://www.w3.org/Security/wiki/Same_Origin_Policy
https://developer.mozilla.org/ja/docs/Same_origin_policy_for_JavaScript
- ある生成元から読み込まれた文書やスクリプトが、 異なる生成元からの文書のプロパティを取得したり設定したりするのを防ぎます。
このポリシーは Netscape Navigator 2.0 までさかのぼります。
同一生成元ポリシーの制限への対処
http://keicode.com/script/jsonp-same-origin-policy.php
- JSONP では、同一生成元ポリシーによる他サーバーへの問い合わせの制限を回避して、 元のサーバーと異なるサーバーへの問い合わせを可能とします。
1. Same-Origin Policy
There is no single same-origin policy.
1.1. General Principles
An origin is defined by the scheme, host, and port of a URL.
Generally speaking, documents retrieved from distinct origins are isolated from each other.
For example, if a document retrieved from http://example.com/doc.html tries to access the DOM of a document retrieved from
https://example.com/target.html, the user agent will disallow access
because the origin of the first document, (http, example.com, 80), does not match the origin of the second document (https, example.com, 443).
Although the same-origin policy differs between APIs, the overarching intent is to let users visit untrusted web sites without those web sites interfering with the user's session with honest web sites.
生成元横断XMLHttpRequest http://dev.screw-axis.com/doc/chrome_extensions/guide/cross_origin_xhr/