同一生成元ポリシーとは? わかりやすく解説

Weblio 辞書 > 辞書・百科事典 > 百科事典 > 同一生成元ポリシーの意味・解説 

同一生成元ポリシー

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/11/03 08:47 UTC 版)

同一生成元ポリシー(どういつせいせいげんポリシー、: Same-Origin Policy)とは、1995年Netscape社によってJavaScriptと同時にウェブブラウザに導入されたセキュリティ上の考え方で、コンテンツがブラウザに来る源泉(origin)に基づいて整理して、外部からの干渉を防ごうとする。

同一源泉ポリシー同一オリジンポリシーとも表記される。 厳密には異なるがクロスドメイン、クロスサイトの制限と表記されることもある。

Origin判定ルール

Originオリジン源泉とも表記され、以下の3つを一組としてすべて一致するとき同一とみなす。 表題に反して、コンテンツは動的に生成されるとは限らない[1]

例えば、次のものは同一のところから来たと扱われる。

  • http://example.com/
  • http://example.com:80/
  • http://example.com/path/file

次のものは、お互いに別のところから来たと扱われる。

  • http://example.com/
  • http://example.com:1234/
  • http://www.example.com/
  • https://example.com/
  • http://example.org/
  • http://wikipedia.org

同一でないoriginに対する制限とその回避策

異なる源泉から来たコンテンツについて、ブラウザ(正確にはユーザーエージェント)はセキュリティ上の干渉を阻止するため、さまざまな制限を行う。以下は一例である。

  • XMLHttpRequestによる取得の禁止
  • スクリプトによる別のoriginであるiframeやwindowに対する操作の制限(iframe.contentWindow、window.parent、window.open、window.openerなど)
  • Canvasへの一部の操作の制限

この制限がない場合、例えばログインしないとみることのできない情報(Wikipediaのウォッチリストや、Webメールなど)のあるサイトにログインしているとき、ほかの生成元のサイトからそれを取得されるなどの危険が生じる。

画像やスクリプト、CSSFlashなどのオブジェクトの埋め込みでは制限の内容に違いがあったり、制限されない場合がある。これを利用して、ほかの生成元と通信を行う代表的な手段がJSONPである。 セキュリティ上のリスクを理解したうえであれば、HTTPヘッダーでの指定やdocument.domainの変更などの特定の方法で許可をすることによって制限を緩和することができる。en:Cross-Origin Resource Sharing(CORS)と呼ばれ、一部の仕様はHTML5によって定められており、古いブラウザは非対応の場合もある。

また、このポリシーはブラウザの実装によってデータURIスキームの扱いなどに差異がある。

関連項目

脚注

[脚注の使い方]
  1. ^ 静的なコンテンツも対象となる。誤訳が定着してしまっている。

参考文献

外部リンク




英和和英テキスト翻訳>> Weblio翻訳
英語⇒日本語日本語⇒英語
  

辞書ショートカット

すべての辞書の索引

「同一生成元ポリシー」の関連用語

同一生成元ポリシーのお隣キーワード
検索ランキング

   

英語⇒日本語
日本語⇒英語
   



同一生成元ポリシーのページの著作権
Weblio 辞書 情報提供元は 参加元一覧 にて確認できます。

   
ウィキペディアウィキペディア
All text is available under the terms of the GNU Free Documentation License.
この記事は、ウィキペディアの同一生成元ポリシー (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。

©2025 GRAS Group, Inc.RSS