セキュリティテスト-同一生成元ポリシー

同一生成元ポリシー(SOP)は、Webアプリケーションのセキュリティモデルにおける重要な概念です。

同一生成元ポリシーとは何ですか?

このポリシーに従って、同じサイトから発信されたページでスクリプトを実行することを許可します。これは、次の組み合わせにすることができます。

  • Domain
  • Protocol
  • Port

この動作の背後にある理由はセキュリティです。あなたが持っている場合はtry.comを1つのウィンドウでとgmail.com別のウィンドウで、あなたはtry.comからのアクセスにスクリプトをしたいか、あなたに代わってのGmailのコンテキストでgmail.comの内容や実行のアクションを変更しないでください。

以下は同じ起源のウェブページです。前に説明したように、同一生成元はドメイン/プロトコル/ポートを考慮に入れます。

  • http://website.com
  • http://website.com/
  • http://website.com/my/contact.html

以下は、異なる起源のWebページです。

  • http://www.site.co.uk(別のドメイン)
  • http://site.org(別のドメイン)
  • https://site.com(別のプロトコル)
  • http://site.com:8080(別のポート)

IEの同一生成元ポリシーの例外

Internet Explorerには、SOPに対する2つの大きな例外があります。

  • 1つ目は、「信頼できるゾーン」に関連しています。両方のドメインが信頼性の高いゾーンにある場合、同一生成元ポリシーは完全には適用されません。

  • IEの2番目の例外は、ポートに関連しています。IEは同一生成元ポリシーにポートを含めないため、http://website.comとhttp://wesite.com:4444は同じ生成元からのものと見なされ、制限は適用されません。