プログラミングマガジン

プログラミングを中心にIT技術をできるだけわかりやすくまとめます。

  • ホーム
  • Web技術
  • 【Web】同一生成元ポリシー(SOP)について
 
 
     
  • サーバー言語  
    • Python
    • Ruby
    • PHP
    • SQL
  •  
  • インフラ  
       
    • AWS
    •  
    • 基本
    • Git
  • Web
       
    • Web開発
    • JavaScript
    • Vue.js
    • React
  •  
  • 設計  
       
    • 実装設計
    • DB設計
  • 問い合わせ
  

【Web】同一生成元ポリシー(SOP)について

07.31

  • miyabisan2
  • コメントを書く

この記事は2分で読めます

オリジンとは?

URLのことです。具体的には、スキーム(httpなど)、ホスト名、ポート番号という3つの値の組み合わせのことです。(RFC 6454で定義されています。)

オリジン間のアクセス方法の種類

リソースのブラウザ内アクセス

Fetch APIなどでリソースの中身の操作や、ウインドウへを経由したDOM操作など。

ネットワーク越しのアクセス

FetchAPIなどによるHTTPリクエストに関しては一定の制限がなされるべき。

aタグやformタグによるページ遷移(単純リクエスト)

Webの登場当初から存在しました。これはWebの基本的な利用に関わることなので、基本は制限はしない。

FetchAPIやXHRによるHTTPリクエスト(単純ではないリクエスト)

これは一定の制限を課すべきです。

なぜなら比較的最近出てきた技術なので、こういうリクエストが来ることを想定していないサイトもあるためです。

埋め込み

<iframe>や<img>タグによるページ内へのリソース埋め込み

多少は脅威はあるものの「ネットワーク越しのアクセス」に比べたら被害は少ない。

同一生成元ポリシー(SOP)

ブラウザが持っているセキュリティ機能です。

以下の内容がチェックされます。以下が一致している場合は「同一生成元のアクセス(Same-Origin)」とみなされます。

  • ホスト名
  • スキーム(HTTPなど)
  • ポート番号

一方上記いずれかが異なる場合は「Cross-Origin」であるといいます。

SOP下での操作制限

リソース間 操作 制限
同一オリジン ブラウザ内アクセス なし
同一オリジン ネットワーク越しアクセス なし
同一オリジン iframe埋め込み なし
クロスオリジン ブラウザ内アクセス ほぼ禁止
クロスオリジン ネットワーク越しアクセス 単純リクエストは許可、それ以外は禁止
クロスオリジン iframe埋め込み なし

ブラウザ内アクセス

「http://localhost:1000/aaa.html」から「http://localhost:1000/bbb.html」へのアクセスなど。

ネットワーク越しアクセス

「http://localhost:1000/aaa.html」から「http://xxxx:2000/aaa.html」へのアクセスのようにホスト名やポート番号が異なるアクセスなど。

Same-Originなら行けますが、クロスオリジンだとブラウザにブロックされてしまいます。

スポンサーリンク
  • 2021 07.31
  • miyabisan2
  • コメントを書く
  • Web技術
  • Tweets Twitter
  • このエントリーをはてなブックマークに追加
  • LINEで送る

関連記事

  1. 2023 09.16

    【Web技術】キャッシュに関わるHTTPヘッダーについて

  2. 2018 07.15

    【PWA】特徴、構成要素、設計、実装方法

  3. 2022 04.08

    【WebGL】「カクつく」問題、gtlf

  4. 2023 09.16

    【Web技術】Cache-Control調査

  5. 2023 09.16

    【Web技術】画像の遅延読み込み(lazyload)について

  6. 2020 06.16

    【Web】HTTP、ブラウザのキャッシュ機能について

  • コメント ( 0 )
  • トラックバック ( 0 )
  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

返信をキャンセルする。

【React/Redux】「Presentationa…

【Web】「CORS」を使わないSOPの緩和方法

RETURN TOP

著者プロフィール

エンジニア歴10年で過去に業務系、Webデザイン、インフラ系なども経験あります。現在はWeb系でフロントエンド開発中心です。

詳細なプロフィールはこちら

スポンサーリンク

カテゴリー

  • Android
  • AngularJS
  • API
  • AWS
  • C++
  • CSS
  • C言語
  • DDD
  • DevOps
  • Django
  • Docker
  • Figma
  • Git
  • GitLab
  • GraphQL
  • gRPC
  • Hasura
  • Java
  • JavaScript
  • Kubernetes
  • Laravel
  • linux
  • MySQL
  • Next.js
  • nginx
  • Node.js
  • NoSQL
  • Nuxt.js
  • Oracle
  • PHP
  • Python
  • React
  • Redux
  • Rspec
  • Ruby
  • Ruby on Rails
  • Sass
  • Spring Framework
  • SQL
  • TypeScript
  • Unity
  • Vue.js
  • Webサービス開発
  • Webデザイン
  • Web技術
  • インフラ
  • オブジェクト指向
  • システム開発
  • セキュリティ
  • その他
  • データベース
  • デザインパターン
  • テスト
  • ネットワーク
  • プログラミング全般
  • マイクロサービス
  • マイクロソフト系技術
  • マルチメディア
  • リファクタリング
  • 副業
  • 未分類
  • 業務知識
  • 生成AI
  • 設計
  • 関数型言語
RETURN TOP

Copyright ©  プログラミングマガジン | プライバシーポリシー