同一でないoriginに対する制限とその回避策
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2019/03/06 04:08 UTC 版)
「同一生成元ポリシー」の記事における「同一でないoriginに対する制限とその回避策」の解説
異なる源泉から来たコンテンツについて、ブラウザ(正確にはユーザーエージェント)はセキュリティ上の干渉を阻止するため、さまざまな制限を行う。以下は一例である。 XMLHttpRequestによる取得の禁止 スクリプトによる別のoriginであるiframeやwindowに対する操作の制限(iframe.contentWindow、window.parent、window.open、window.openerなど) Canvasへの一部の操作の制限 この制限がない場合、例えばログインしないとみることのできない情報(Wikipediaのウォッチリストや、Webメールなど)のあるサイトにログインしているとき、ほかの生成元のサイトからそれを取得されるなどの危険が生じる。 画像やスクリプト、CSS、Flashなどのオブジェクトの埋め込みでは制限の内容に違いがあったり、制限されない場合がある。これを利用して、ほかの生成元と通信を行う代表的な手段がJSONPである。セキュリティ上のリスクを理解したうえであれば、HTTPヘッダーでの指定やdocument.domainの変更などの特定の方法で許可をすることによって制限を緩和することができる。en:Cross-Origin Resource Sharing(CORS)と呼ばれ、一部の仕様はHTML5によって定められており、古いブラウザは非対応の場合もある。 また、このポリシーはブラウザの実装によってデータURIスキームの扱いなどに差異がある。
※この「同一でないoriginに対する制限とその回避策」の解説は、「同一生成元ポリシー」の解説の一部です。
「同一でないoriginに対する制限とその回避策」を含む「同一生成元ポリシー」の記事については、「同一生成元ポリシー」の概要を参照ください。
- 同一でないoriginに対する制限とその回避策のページへのリンク
