Security-testing-same-origin-policy
提供:Dev Guides
セキュリティテスト-同一生成元ポリシー
Same Origin Policy(SOP)は、Webアプリケーションのセキュリティモデルにおける重要な概念です。
Same Origin Policyとは何ですか?
このポリシーに従って、それは次の組み合わせであることができる同じサイトから発信されたページで実行されているスクリプトを許可します-
- ドメイン
- プロトコル
- Port
例
この動作の背後にある理由はセキュリティです。 あるウィンドウに_try.com_があり、別のウィンドウに_gmail.com_がある場合、try.comのスクリプトがgmail.comのコンテンツにアクセスまたは変更したり、代わりにgmailのコンテキストでアクションを実行したりしないようにします。
以下は同じ起源のウェブページです。 前に説明したように、同じオリジンはドメイン/プロトコル/ポートを考慮に入れます。
以下は、異なる起源のウェブページです。
IEの同一生成元ポリシーの例外
Internet Explorerには、SOPに対する2つの大きな例外があります。
- 1つ目は「信頼ゾーン」に関連しています。 両方のドメインが高信頼ゾーンにある場合、Same Originポリシーは完全には適用されません。
- IEの2番目の例外はポートに関連しています。 IEはポートをSame Originポリシーに含めないため、http://website.comとhttp://wesite.com:4444は同じオリジンからのものと見なされ、制限は適用されません。