セキュリティ

ブラウザでの制約

サンドボックス (sandbox)

同一起源ポリシー (同一出身ポリシー) (Same Origin Policy : SAO)

同一起源ポリシーでは、生成元と読み込み先の

  • スキーム (例:http://example.com)
  • ポート (例:http://example.com:81)
  • ホスト (例:http://example.com)

の3つが同一であることを期待します。

同一オリジンポリシー - Web セキュリティ | MDN

クロスドメインでの通信方法

異なるドメインにおいて、この同一起源ポリシーの制約を回避して通信するには、次のような方法があります。

  • postMessage()がサポートされる環境ならば、それを用いる。
  • スーパードメインが共通ならば、それらの文書でdocument.domainプロパティを一致させる。
  • 通信する文書同士で、URLのハッシュを設定する。
  • window.nameプロパティを介する

脆弱性 (vulnerability)

  • Cross-site Scripting (XSS)
  • Cross-site Request Forgery (CSRF)
  • Javascript Injection