web/SOPについて、ここに記述してください。
1. same origin policy
ブラウザからの情報漏洩(?)を防ぐための機構らしいが、実装依存のようだ。
Mozillaでは https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
http://en.wikipedia.org/wiki/Same_origin_policy
Document Object Model
「同一生成元ポリシー」と呼ばれている。
Under the policy, a web browser permits scripts contained in a first web page to access data in a second web page, but only if both web pages have the sameorigin. An origin is defined as a combination of URI scheme, hostname, and port number.[1] This policy prevents a malicious script on one page from obtaining access to sensitive data on another web page through that page's Document Object Model.
hostnameがなにを指しているのか。
2. Origin determination rules
The term "origin" is defined using
- the domain name, application layer protocol, and (in most browsers) port number of the HTML document running the script.
Two resources are considered to be of the same origin if and only if all these values are exactly the same.
- ドメイン名 (URLのホスト名)
- protocol (スキーム)
- ポート番号
これらが一致すれば、同一生成元(ホスト?)からの文書だと扱われる。
-- ToshinoriMaeno 2012-09-14 03:22:10
http://www.slideshare.net/ockeghem/xssreintroduction
同一生成元ポリシー(Same-Origin Policy; SOP)とは • オリジン = スキーム、ホスト、ポート番号の組み合わせ
- これらがすべて同じ場合、同一生成元(Same Origin)であると いう – http と https は異なるスキーム すなわち別オリジンとなる
JavaScriptによるプロパティへのアクセス等は同一生成元に 対してのみ許可される
XMLHttpRequestによるオブジェクトアクセスは、同一生成元 の場合無条件に許可される – 異なる生成元に対するアクセスは、CORS(Cross-Origin Resource Sharing)により可能 Copyright © 2013 HASH Consulting Corp. 16
3. ホスト
DNSに依存?