MoinQ:

web/SOPについて、ここに記述してください。

1. same origin policy

ブラウザからの情報漏洩(?)を防ぐための機構らしいが、実装依存のようだ。

Mozillaでは https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

http://en.wikipedia.org/wiki/Same_origin_policy

Document Object Model

「同一生成元ポリシー」と呼ばれている。

Under the policy, 
a web browser permits scripts contained in a first web page to access data in a second web page, 
but only if both web pages have the sameorigin. 

An origin is defined as a combination of URI scheme, hostname, and port number.[1]

This policy prevents a malicious script on one page from obtaining access to sensitive data
on another web page through that page's Document Object Model.

hostnameがなにを指しているのか。

2. Origin determination rules

The term "origin" is defined using

Two resources are considered to be of the same origin if and only if all these values are exactly the same.


これらが一致すれば、同一生成元(ホスト?)からの文書だと扱われる。

-- ToshinoriMaeno 2012-09-14 03:22:10

http://www.slideshare.net/ockeghem/xssreintroduction

同一生成元ポリシー(Same-Origin Policy; SOP)とは • オリジン = スキーム、ホスト、ポート番号の組み合わせ

JavaScriptによるプロパティへのアクセス等は同一生成元に 対してのみ許可される

XMLHttpRequestによるオブジェクトアクセスは、同一生成元 の場合無条件に許可される – 異なる生成元に対するアクセスは、CORS(Cross-Origin Resource Sharing)により可能 Copyright © 2013 HASH Consulting Corp. 16

3. ホスト

DNSに依存?