ids/2/569.txt

[4]
[DFN[[RUBY[同一起源方針] [どういつきげんほうしん] [same origin policy]]]]は、
[[Web]] において、[[スクリプト]]が異なる[[起源]] (一般には[[ドメイン]])
に由来する[[物体]]に対してアクセスすることを制限する[[安全性]]に関する方針です。

;; [55] たまに [DFN[[[SOP]]]] と略されることがあります。

* 仕様書

[REFS[
- [5] '''[CITE@en[RFC 6454 - The Web Origin Concept]] ([TIME[2011-12-12 09:13:37 +09:00]] 版) <http://tools.ietf.org/html/rfc6454>'''
- [3]
[CITE@en-US-x-hixie[HTML 5]] ([TIME[2008-07-04 05:49:35 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#origin>
]REFS]

* 同一起源方針の原理

[56] [[Webアプリケーション]]は、[[鯖]]が提供した[[スクリプト]]等を [[Webブラウザー]]上の環境において実行、
評価するものですが、適切な[[セキュリティー・モデル]]が無ければ[[利用者]]やその他の人が意図しない有害な動作がなされてしまうかもしれません。
[[同一起源方針]]は [[Webブラウザー]]上で動作する[[Webアプリケーション]]のための[[セキュリティー・モデル]]として発展、収束してきたものです。
[[RFC 6454]] で [[Adam Barth]] は次の基本原理をまとめています。

- Trust
- Origin
- Authority
- Policy

** Trust

[57] [[同一起源方針]]においては [[URL]] によって [[trust]] を指定していると言えます。

[EG[
[58] 例えば [CODE(HTMLe)@en[[[script]]]] [[要素]]によって [[URL]] 
を指定して外部の[[スクリプト]]を読み込むことは、
自身の持つ[[特権]]を当該 [[URL]] に対して付与していることになります。
つまり当該 [[URL]] から得られる情報の[[一貫性]]を信頼 (trust) すると宣言していると言えます。
]EG]

[EG[
[59] また [CODE(HTMLe)@en[[[form]]]] [[要素]]によって [[POST]] 先の [[URL]]
を指定することは、秘密のデータを当該 [[URL]] に対して開示することになります。
つまり当該 [[URL]] に送られるデータの秘匿性を信頼 (trust) すると宣言していると言えます。
]EG]

** Origin

[60] あらゆる [[URL]] にそれぞれ個別の保護された領域を与えることもできますが、
それでは実用上不便なので、[[同一起源方針]]にあっては[[ドメイン]]などが共通する [[URL]] 群を
[[起源]] (origin) と呼び、これを保護の単位とします。

[EG[
[61] 例えば [CODE(URI)@en[http://example.com/]] と [CODE(URI)@en[http://example.com/~mypage/]]
は [CODE(URI)[http://example.com]] という共通の[[起源]]を持ちます。しかし
[CODE(URI)[http://www.example.com/]] や [CODE(URI)@en[http://example.com:8080/]]
の[[起源]]はそれぞれ
[CODE(URI)[http://www.example.com]] や [CODE(URI)@en[http://example.com:8080]]
であり、異なります。
]EG]

** Authority

[62] [[起源]]が同じであっても、[[資源]]はそれぞれの権限 (authority) を持っています。
どれだけの権限を与えるかは [[MIME型]]により決まります。

[EG[
[63] 例えば [CODE(MIME)@en[[[image/png]]]] の[[資源]]は[[画像]]であり、 [[API]]
その他へのアクセス権を有しません。一方 [CODE(MIME)@en[[[text/html]]]] の[[資源]]は
[[HTML文書]]であり、[[スクリプト]]の実行その他の様々な権限を有します。
]EG]

** Policy

[64] [[同一起源方針]]においては[[起源]]はそれぞれ別に管理されており、他の[[起源]]との通信は制限されています。
他の[[起源]]の[[API]]アクセスは原則として禁止されていますし、他の[[起源]]の[[資源]]を読み取ることもできません。
他の[[起源]]に情報を送ることは認められていますが、一部の決められた形式に制限されています。

[EG[
[65] 例えば [[DOM]] の [[API]] によって他の[[起源]]の[[文書]]にアクセスすることはできません。
[CODE(DOM)@en[[[postMessage]]]] など例外はありますが、それ以外は [[Webブラウザー]]により厳密に管理されています。
]EG]

[EG[
[66] [[XHR]] によって他の[[起源]]の[[資源]]を読み取ることは、 [[CORS]] により例外的に認められていない限り、
禁止されています。
]EG]

* 適用対象

[9]

@@ このリストは不完全です。

-[20] [CODE(DOMa)@en[[[window]]]] や [CODE(DOMa)@en[[[document]]]] や
[CODE(DOMa)@en[[[location]]]]
の[[メンバー]] (一部例外を除きます。) に対する[[スクリプト]]からのアクセス
[SRC@en[[[HTML 5]]]]
--[26] ただし、[[Webブラウザ]]によっては、 [[HTML 5]] で例外とされている[[メンバー]]以外にも異なる[[起源]]の[[スクリプト]]からアクセスできてしまいます。
(例えば [[Gecko]] では [CODE(DOMa)@en[[[name]]]] や [CODE(DOMa)@en[[[status]]]] にアクセスできます。
[CODE(DOMa)@en[[[name]]]] の項を参照。)
-[23] [[CSSOM]] へのアクセス [SRC[仕様なし]]
- [33] 外部資源へのアクセス
--[21] [CODE(DOMi)@en[[[XMLHttpRequest]]]] による[[外部資源]]へのアクセス
[SRC@en[[[XMLHttpRequest]], [[XMLHttpRequest]] 2]]
--[22] [[WebSocket]] による接続 [SRC@en[[[HTML 5]]]]
--[31] [CODE(DOMi)@en[[[Document]]]] [[オブジェクト]]の
[CODE(DOMm)@en[[[load]]]] で読み込める [[URL]]
[DEL[([[MSXML]]、[[Gecko]] など; [[DOM3LS]] [[CR]] にあったが同一起源方針に関する仕様はなし)]] [SRC[>>71]]
--- [71] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#dom-xmldocument-load>
-- [34] [[XSLT]] [CODE(XPathf)@en[[[document()]]]] [[関数]]による別[[起源]]の[[資源]]へのアクセス [SRC[仕様なし]]
-[37] [CODE(DOMa)@en[[[mozIsLocallyAvailable]]]]
- [43] [[SOAP]]
-- <https://developer.mozilla.org/ja/SOAP_in_Gecko-based_Browsers>
- [73] [CODE(DOM)@en[[[onerror]]]]
-- [CODE(HTMLe)@en[[[iframe]]]]: [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#the-iframe-element>
- [74] [CODE(HTMLa)@en[[[seamless]]]]
-- [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#attr-iframe-seamless>
- [77] [CODE(HTMLe)@en[[[canvas]]]] の[[起源汚染]]
-- [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#security-with-canvas-elements>
- [75] [[Web Fonts]] の利用
-- [76] [CODE(DOMm)@en[[[measureText]]]] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#dom-context-2d-measuretext>

* 起源の値によって動作が変わるもの

- [68] [[fetch]] において [CODE(HTTP)@en[[[Referer:]]]] を送出する条件
-- [[起源]]が[[3項組]]で''なければ''、 [CODE(HTTP)@en[[[Referer:]]]] を送っては[['''なりません''']] [SRC[>>67]]。
-- [67] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#fetch>
- [70] [CODE(JS)@en[[[document.cookie]]]] を使える条件
-- [[起源]]が[[3項組]]で''なければ''、 [CODE(JS)@en[[[document.cookie]]]] には読み書きできません [SRC[>>69]]。
-- [69] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#dom-document-cookie>

* 適用対象外

[10]
歴史的な理由により、次の場合には同一起源方針は適用されません。
- [CODE(HTMLa)@en[[[src]]]] [[属性]]、
[CODE(HTMLe)@en[[[object]]]] [[要素]]、
[CODE(HTMLe)@en[[[embed]]]] [[要素]]、
[CODE(HTMLe)@en[[[link]]]] [[要素]]などによる外部[[資源]]の埋め込み
-- [CODE(HTMLe)@en[[[img]]]] [[要素]]や [CODE(HTMLe)@en[[[iframe]]]]
[[要素]]など
-- [CODE(HTMLe)@en[[[script]]]] [[要素]]による外部[[スクリプト]]の参照も含みます。
これがそもそも設計上の意図的なものなのか、設計ミスなのかはわかりませんが、
[[JSONP]] などで同一起源方針を擦り抜けるテクニックとしてよく利用されています。
-- これらの[[要素]]や[[属性]]を使うと、本来[[スクリプト]]から取得できないべきである、
異なる[[起源]]の情報を取得することができてしまいます。前述のスクリプト実行だけでなく、
例えば、[[画像]]の大きさを取得することで、その内容を推測できてしまうかもしれません。
-- 外部[[スタイル・シート]]については、非同一起源でも読み込まれて文書に適用されますが、
[[スクリプト]]による [[CSSOM]] の参照に関しては同一起源方針の適用対象になります
(ただし各[[ブラウザ]]とも動作が怪しい)。
-- 外部 [[CSS]] [[スタイル・シート]]中の
[CODE(CSS)@en[[[expression]]()]]
- [[画像]]系 [[CSS]] [[特性]]による外部[[画像]]の埋め込み
- [CODE(CSS)@en[[[-moz-binding]]]] [[特性]]による外部 [[XBL 1.0]]
[[文書]]の読み込み
- [CODE(CSS)@en[@[[import]]]] による外部 [[CSS]] [[スタイル・シート]]の[[輸入]]
- [[Webフォント]]
-- 一部ブラウザ実装。今後の動向次第で変更される可能性あり。
-[18] [[Cookie]]
-- [CODE(HTTP)@en[[[Set-Cookie]]:]] [[頭欄]]内で発行対象の[[ドメイン]]を指定できます。
-- [CODE(JS)@en[[[document.cookie]]]] を使っても書き込みできます。
-[25] [CODE(DOMm)@en[[[postMessage]]]] [[メソッド]]を使うと、
異なる[[起源]]の [[Web頁]]に対して文字列を伝達できます。
-[32] [CODE(HTMLa)@en[[[marginwidth]]]] など[[フレーム]]内の[[余白]]を設定する[[属性]]を使うと、
[[フレーム集合文書]]とは異なる[[起源]]の[[フレーム]]内[[文書]]の[[余白]]を設定できます。
-- [[フレーム]]は [[CSS]] によるレンダリング・モデル以前に実装された歴史的経緯によります。
- [38] [CODE(JS)@en[[[window.name]]]]
- [39] [CODE(HTMLa)@en[[[marginheight]]]], [CODE(HTMLa)@en[[[marginwidth]]]]

[16] 要確認:
- [[XSLT]] [[スタイル・シート]]

* [11] 制約の緩和

- [15] [CODE(JS)@en[[[document]].[[domain]]]] [[DOM属性]]に値を設定することにより、
[[起源]]となる[[ドメイン名]]を変更することができます。
--ただし、新しい[[ドメイン名]]は元の[[ドメイン名]]の上位階層に当たるものでなければなりません。
- [12] [[CORS]] により、''外部[[資源]]は''、異なる[[起源]]からのアクセスを許可することができます。
-- [13] [[Microsoft]] が提案し、 [[WinIE 8]] で実装している
[CODE(DOMi)@en[[[XDomainRequest]]]] を用いると、
異なる[[ドメイン]]の[[資源]]にアクセスできます。
- [14] [[WinIE]] で実装されている[[セキュリティ・ゾーン]]の機能により、
[[イントラネット]]等[[ゾーン]]毎に、
[[同一起源方針]]を[[利用者]]の設定により緩和することができます。
-[17]
[[Adobe]] [[Air]] は異なる[[起源]]に対する [CODE(DOMi)@en[[[XMLHttpRequest]]]]
でのアクセスを可能にする [CODE(HTMLa)@en[[[allowcrossdomainxhr]]]]
[[属性]]を実装しています。
-[19] [CODE(DOMa)@en[[[globalStorage]]]]
--かつて [[HTML 5]] に含まれていました。
--現在は削除され、代わりに [CODE(DOMa)@en[[[localStorage]]]] が定義されていますが、
こちらは[[同一起源方針]]に完全に従っています。
-- [[Firefox]] 3 が実装しています。
-- [CODE(JS)@en[[[document]].[[domain]]]] [[DOM属性]]の設定と同じようなアクセス制約があります。
- [44] [[Gecko]] は特権を取得することで一部制限を回避できるらしい
-- <https://developer.mozilla.org/ja/SOAP_in_Gecko-based_Browsers>


* 媒体

[30] [CITE[Re: Same-origin checking for media elements]] ([[Ian Hickson <ian@...>]] 著, [TIME[2008-11-17 01:37:36 +09:00]] 版) <http://permalink.gmane.org/gmane.org.w3c.whatwg.discuss/16571>

* 労働者

@@ ・・・

* 局所ファイル

[27] [[HTML5]] は[[局所ファイル]]に関しては[[相互運用性]]に関係しないため適用範囲外として規定していません。

[28] [CITE@ja[Chromeセキュリティモデル、IE/Firefox/Safari/Operaのいいとこ取り | エンタープライズ | マイコミジャーナル]] ([[Mainichi Communications Inc.]] 著, [TIME[2008-12-09 08:24:36 +09:00]] 版) <http://journal.mycom.co.jp/news/2008/12/08/031/>

[29] [CITE[Chromium Blog: Security in Depth: Local Web Pages]] ([TIME[2008-12-13 15:47:53 +09:00]] 版) <http://blog.chromium.org/2008/12/security-in-depth-local-web-pages.html>


* 歴史

[6] 同一起源方針は、 [[Netscape Navigator]] 2.0 で [[JavaScript]]
と共に導入され [SRC[>>1、>>2]]、2.01 および 2.02 で不具合の修正がなされました
[SRC[>>1]]。

[7] [[Internet Explorer]] をはじめとする他ブラウザも同様にこの制限を実装しましたが、
[[ECMAScript]] 仕様や [[DOM]] 仕様としての標準化の対象外とされ、
長らく明文化された規定が存在していませんでした。

[8] [[HTML DOM]] に関係する部分はようやく2005年頃に [[WHATWG]]
によって [[HTML 5]] 仕様の一部として仕様の明文化が行われ始めました。
また、 [[XMLHttpRequest]] に関しては [[HTML 5]] 仕様を参照する形で規定されています。

[[#comment]]


* メモ

[2]
[CITE[JavaScript Security: Same Origin]] ([CODE[2008-06-18 04:13:16 +09:00]] 版) <http://www.mozilla.org/projects/security/components/same-origin.html>

[1]
[CITE@en[Same origin policy - Wikipedia, the free encyclopedia]] ([CODE[2008-07-02 01:06:45 +09:00]] 版) <http://en.wikipedia.org/wiki/Same_origin_policy>

[35] [CITE@en-us[Same origin policy for JavaScript - MDC]] ([TIME[2009-02-17 13:34:30 +09:00]] 版) <https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript>

[36] [CITE[The Multi-Principal OS Construction of the Gazelle Web Browser - Microsoft Research]] ([TIME[2009-03-07 00:35:15 +09:00]] 版) <http://research.microsoft.com/apps/pubs/default.aspx?id=79655>

[[Webブラウザー]]の[[プロセス]]を[[起源]]毎に分離することによって[[保安性]]の向上を図る[[論文]]だそうです。

[40] [CITE@en[(X)HTML5 Tracking]]
([TIME[2009-09-30 00:11:40 +09:00]] 版)
<http://html5.org/tools/web-apps-tracker?from=4041&to=4042>

[41] [CITE[IRC logs: freenode / #whatwg / 20100223]]
([TIME[2010-02-25 09:03:01 +09:00]] 版)
<http://krijnhoetmer.nl/irc-logs/whatwg/20100223>

[42] [CITE['''['''whatwg''']''' Canvas 2D Context Proposal: resetOriginClean]]
([TIME[2010-04-25 01:54:34 +09:00]] 版)
<http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2010-April/026006.html>

[45] [CITE@en[Guidelines for Web Content Transformation Proxies 1.0]]
( ([TIME[2010-10-22 17:20:31 +09:00]] 版))
<http://www.w3.org/TR/2010/NOTE-ct-guidelines-20101026/#term-same-origin>

[46] [CITE@en[Web Applications 1.0 r5873     Make sure cross-origin fonts can't leak data via <canvas>.]]
( ([TIME[2011-02-11 10:48:00 +09:00]] 版))
<http://html5.org/tools/web-apps-tracker?from=5872&to=5873>

[47] [CITE[Embedder's Guide - V8 JavaScript Engine - Google Code]]
( ([TIME[2010-11-13 19:00:12 +09:00]] 版))
<http://code.google.com/intl/ja/apis/v8/embed.html>

[48] [CITE@en[draft-abarth-principles-of-origin-00 - Principles of the Same-Origin Policy]]
([TIME[2011-02-22 08:21:31 +09:00]] 版)
<http://tools.ietf.org/html/draft-abarth-principles-of-origin-00>

[49] [CITE@en[Thoughts on font linking and embedding]]
( ([[Maciej Stachowiak]] 著, [TIME[2011-02-17 04:28:23 +09:00]] 版))
<http://lists.w3.org/Archives/Public/public-webfonts-wg/2011Feb/0066.html>

[50] [CITE@en[Thoughts on font linking and embedding]]
( ([[Maciej Stachowiak]] 著, [TIME[2011-02-17 04:28:23 +09:00]] 版))
<http://lists.w3.org/Archives/Public/public-webfonts-wg/2011Feb/0066.html>

[51] [CITE['''['''whatwg''']''' Canvas and drawWindow]]
([TIME[2011-03-15 13:03:35 +09:00]] 版)
<http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2011-March/030862.html>

[52] [CITE[IRC logs: freenode / #whatwg / 20110202]]
( ([TIME[2011-03-19 11:10:11 +09:00]] 版))
<http://krijnhoetmer.nl/irc-logs/whatwg/20110202>

[53] [CITE[IRC logs: freenode / #whatwg / 20110214]]
( ([TIME[2011-03-23 00:25:04 +09:00]] 版))
<http://krijnhoetmer.nl/irc-logs/whatwg/20110214>

[54] [CITE[クロスドメイン通信方法のまとめ - nopnopの日記]]
( ([TIME[2011-04-24 11:59:01 +09:00]] 版))
<http://d.hatena.ne.jp/nopnop/20080408/1207669947>
1	wakaba	1.1	[4]
2			[DFN[[RUBY[同一起源方針] [どういつきげんほうしん] [same origin policy]]]]は、
3			[[Web]] において、[[スクリプト]]が異なる[[起源]] (一般には[[ドメイン]])
4			に由来する[[物体]]に対してアクセスすることを制限する[[安全性]]に関する方針です。
5
6	wakaba	1.22	;; [55] たまに [DFN[[[SOP]]]] と略されることがあります。
7
8			* 仕様書
9
10			[REFS[
11	wakaba	1.26	- [5] '''[CITE@en[RFC 6454 - The Web Origin Concept]] ([TIME[2011-12-12 09:13:37 +09:00]] 版) <http://tools.ietf.org/html/rfc6454>'''
12	wakaba	1.1	- [3]
13	wakaba	1.23	[CITE@en-US-x-hixie[HTML 5]] ([TIME[2008-07-04 05:49:35 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#origin>
14	wakaba	1.22	]REFS]
15	wakaba	1.1
16	wakaba	1.23	* 同一起源方針の原理
17
18			[56] [[Webアプリケーション]]は、[[鯖]]が提供した[[スクリプト]]等を [[Webブラウザー]]上の環境において実行、
19			評価するものですが、適切な[[セキュリティー・モデル]]が無ければ[[利用者]]やその他の人が意図しない有害な動作がなされてしまうかもしれません。
20			[[同一起源方針]]は [[Webブラウザー]]上で動作する[[Webアプリケーション]]のための[[セキュリティー・モデル]]として発展、収束してきたものです。
21			[[RFC 6454]] で [[Adam Barth]] は次の基本原理をまとめています。
22
23			- Trust
24			- Origin
25			- Authority
26			- Policy
27
28	wakaba	1.24	** Trust
29
30			[57] [[同一起源方針]]においては [[URL]] によって [[trust]] を指定していると言えます。
31
32			[EG[
33			[58] 例えば [CODE(HTMLe)@en[[[script]]]] [[要素]]によって [[URL]]
34			を指定して外部の[[スクリプト]]を読み込むことは、
35			自身の持つ[[特権]]を当該 [[URL]] に対して付与していることになります。
36			つまり当該 [[URL]] から得られる情報の[[一貫性]]を信頼 (trust) すると宣言していると言えます。
37			]EG]
38
39			[EG[
40			[59] また [CODE(HTMLe)@en[[[form]]]] [[要素]]によって [[POST]] 先の [[URL]]
41			を指定することは、秘密のデータを当該 [[URL]] に対して開示することになります。
42			つまり当該 [[URL]] に送られるデータの秘匿性を信頼 (trust) すると宣言していると言えます。
43			]EG]
44
45			** Origin
46
47			[60] あらゆる [[URL]] にそれぞれ個別の保護された領域を与えることもできますが、
48			それでは実用上不便なので、[[同一起源方針]]にあっては[[ドメイン]]などが共通する [[URL]] 群を
49			[[起源]] (origin) と呼び、これを保護の単位とします。
50
51			[EG[
52			[61] 例えば [CODE(URI)@en[http://example.com/]] と [CODE(URI)@en[http://example.com/~mypage/]]
53			は [CODE(URI)[http://example.com]] という共通の[[起源]]を持ちます。しかし
54			[CODE(URI)[http://www.example.com/]] や [CODE(URI)@en[http://example.com:8080/]]
55			の[[起源]]はそれぞれ
56			[CODE(URI)[http://www.example.com]] や [CODE(URI)@en[http://example.com:8080]]
57			であり、異なります。
58			]EG]
59
60			** Authority
61
62			[62] [[起源]]が同じであっても、[[資源]]はそれぞれの権限 (authority) を持っています。
63			どれだけの権限を与えるかは [[MIME型]]により決まります。
64
65			[EG[
66			[63] 例えば [CODE(MIME)@en[[[image/png]]]] の[[資源]]は[[画像]]であり、 [[API]]
67			その他へのアクセス権を有しません。一方 [CODE(MIME)@en[[[text/html]]]] の[[資源]]は
68			[[HTML文書]]であり、[[スクリプト]]の実行その他の様々な権限を有します。
69			]EG]
70
71			** Policy
72
73			[64] [[同一起源方針]]においては[[起源]]はそれぞれ別に管理されており、他の[[起源]]との通信は制限されています。
74			他の[[起源]]の[[API]]アクセスは原則として禁止されていますし、他の[[起源]]の[[資源]]を読み取ることもできません。
75			他の[[起源]]に情報を送ることは認められていますが、一部の決められた形式に制限されています。
76	wakaba	1.23
77	wakaba	1.25	[EG[
78			[65] 例えば [[DOM]] の [[API]] によって他の[[起源]]の[[文書]]にアクセスすることはできません。
79			[CODE(DOM)@en[[[postMessage]]]] など例外はありますが、それ以外は [[Webブラウザー]]により厳密に管理されています。
80			]EG]
81
82			[EG[
83			[66] [[XHR]] によって他の[[起源]]の[[資源]]を読み取ることは、 [[CORS]] により例外的に認められていない限り、
84			禁止されています。
85			]EG]
86
87	wakaba	1.1	* 適用対象
88
89			[9]
90
91			@@ このリストは不完全です。
92
93			-[20] [CODE(DOMa)@en[[[window]]]] や [CODE(DOMa)@en[[[document]]]] や
94			[CODE(DOMa)@en[[[location]]]]
95			の[[メンバー]] (一部例外を除きます。) に対する[[スクリプト]]からのアクセス
96			[SRC@en[[[HTML 5]]]]
97			--[26] ただし、[[Webブラウザ]]によっては、 [[HTML 5]] で例外とされている[[メンバー]]以外にも異なる[[起源]]の[[スクリプト]]からアクセスできてしまいます。
98			(例えば [[Gecko]] では [CODE(DOMa)@en[[[name]]]] や [CODE(DOMa)@en[[[status]]]] にアクセスできます。
99			[CODE(DOMa)@en[[[name]]]] の項を参照。)
100	wakaba	1.9	-[23] [[CSSOM]] へのアクセス [SRC[仕様なし]]
101			- [33] 外部資源へのアクセス
102			--[21] [CODE(DOMi)@en[[[XMLHttpRequest]]]] による[[外部資源]]へのアクセス
103	wakaba	1.1	[SRC@en[[[XMLHttpRequest]], [[XMLHttpRequest]] 2]]
104	wakaba	1.9	--[22] [[WebSocket]] による接続 [SRC@en[[[HTML 5]]]]
105			--[31] [CODE(DOMi)@en[[[Document]]]] [[オブジェクト]]の
106	wakaba	1.6	[CODE(DOMm)@en[[[load]]]] で読み込める [[URL]]
107	wakaba	1.27	[DEL[([[MSXML]]、[[Gecko]] など; [[DOM3LS]] [[CR]] にあったが同一起源方針に関する仕様はなし)]] [SRC[>>71]]
108	wakaba	1.28	--- [71] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#dom-xmldocument-load>
109	wakaba	1.9	-- [34] [[XSLT]] [CODE(XPathf)@en[[[document()]]]] [[関数]]による別[[起源]]の[[資源]]へのアクセス [SRC[仕様なし]]
110	wakaba	1.12	-[37] [CODE(DOMa)@en[[[mozIsLocallyAvailable]]]]
111	wakaba	1.18	- [43] [[SOAP]]
112			-- <https://developer.mozilla.org/ja/SOAP_in_Gecko-based_Browsers>
113	wakaba	1.27	- [73] [CODE(DOM)@en[[[onerror]]]]
114			-- [CODE(HTMLe)@en[[[iframe]]]]: [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#the-iframe-element>
115	wakaba	1.28	- [74] [CODE(HTMLa)@en[[[seamless]]]]
116			-- [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#attr-iframe-seamless>
117			- [77] [CODE(HTMLe)@en[[[canvas]]]] の[[起源汚染]]
118			-- [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#security-with-canvas-elements>
119			- [75] [[Web Fonts]] の利用
120			-- [76] [CODE(DOMm)@en[[[measureText]]]] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#dom-context-2d-measuretext>
121	wakaba	1.1
122	wakaba	1.26	* 起源の値によって動作が変わるもの
123	wakaba	1.1
124	wakaba	1.26	- [68] [[fetch]] において [CODE(HTTP)@en[[[Referer:]]]] を送出する条件
125			-- [[起源]]が[[3項組]]で''なければ''、 [CODE(HTTP)@en[[[Referer:]]]] を送っては[['''なりません''']] [SRC[>>67]]。
126	wakaba	1.28	-- [67] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#fetch>
127	wakaba	1.27	- [70] [CODE(JS)@en[[[document.cookie]]]] を使える条件
128			-- [[起源]]が[[3項組]]で''なければ''、 [CODE(JS)@en[[[document.cookie]]]] には読み書きできません [SRC[>>69]]。
129	wakaba	1.28	-- [69] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#dom-document-cookie>
130	wakaba	1.1
131			* 適用対象外
132
133			[10]
134			歴史的な理由により、次の場合には同一起源方針は適用されません。
135			- [CODE(HTMLa)@en[[[src]]]] [[属性]]、
136			[CODE(HTMLe)@en[[[object]]]] [[要素]]、
137			[CODE(HTMLe)@en[[[embed]]]] [[要素]]、
138			[CODE(HTMLe)@en[[[link]]]] [[要素]]などによる外部[[資源]]の埋め込み
139			-- [CODE(HTMLe)@en[[[img]]]] [[要素]]や [CODE(HTMLe)@en[[[iframe]]]]
140			[[要素]]など
141			-- [CODE(HTMLe)@en[[[script]]]] [[要素]]による外部[[スクリプト]]の参照も含みます。
142			これがそもそも設計上の意図的なものなのか、設計ミスなのかはわかりませんが、
143			[[JSONP]] などで同一起源方針を擦り抜けるテクニックとしてよく利用されています。
144			-- これらの[[要素]]や[[属性]]を使うと、本来[[スクリプト]]から取得できないべきである、
145			異なる[[起源]]の情報を取得することができてしまいます。前述のスクリプト実行だけでなく、
146			例えば、[[画像]]の大きさを取得することで、その内容を推測できてしまうかもしれません。
147			-- 外部[[スタイル・シート]]については、非同一起源でも読み込まれて文書に適用されますが、
148			[[スクリプト]]による [[CSSOM]] の参照に関しては同一起源方針の適用対象になります
149			(ただし各[[ブラウザ]]とも動作が怪しい)。
150			-- 外部 [[CSS]] [[スタイル・シート]]中の
151			[CODE(CSS)@en[[[expression]]()]]
152			- [[画像]]系 [[CSS]] [[特性]]による外部[[画像]]の埋め込み
153			- [CODE(CSS)@en[[[-moz-binding]]]] [[特性]]による外部 [[XBL 1.0]]
154			[[文書]]の読み込み
155			- [CODE(CSS)@en[@[[import]]]] による外部 [[CSS]] [[スタイル・シート]]の[[輸入]]
156			- [[Webフォント]]
157			-- 一部ブラウザ実装。今後の動向次第で変更される可能性あり。
158			-[18] [[Cookie]]
159			-- [CODE(HTTP)@en[[[Set-Cookie]]:]] [[頭欄]]内で発行対象の[[ドメイン]]を指定できます。
160	wakaba	1.17	-- [CODE(JS)@en[[[document.cookie]]]] を使っても書き込みできます。
161	wakaba	1.8	-[25] [CODE(DOMm)@en[[[postMessage]]]] [[メソッド]]を使うと、
162			異なる[[起源]]の [[Web頁]]に対して文字列を伝達できます。
163			-[32] [CODE(HTMLa)@en[[[marginwidth]]]] など[[フレーム]]内の[[余白]]を設定する[[属性]]を使うと、
164			[[フレーム集合文書]]とは異なる[[起源]]の[[フレーム]]内[[文書]]の[[余白]]を設定できます。
165			-- [[フレーム]]は [[CSS]] によるレンダリング・モデル以前に実装された歴史的経緯によります。
166	wakaba	1.13	- [38] [CODE(JS)@en[[[window.name]]]]
167			- [39] [CODE(HTMLa)@en[[[marginheight]]]], [CODE(HTMLa)@en[[[marginwidth]]]]
168	wakaba	1.8
169			[16] 要確認:
170			- [[XSLT]] [[スタイル・シート]]
171
172			* [11] 制約の緩和
173	wakaba	1.1
174			- [15] [CODE(JS)@en[[[document]].[[domain]]]] [[DOM属性]]に値を設定することにより、
175			[[起源]]となる[[ドメイン名]]を変更することができます。
176			--ただし、新しい[[ドメイン名]]は元の[[ドメイン名]]の上位階層に当たるものでなければなりません。
177	wakaba	1.17	- [12] [[CORS]] により、''外部[[資源]]は''、異なる[[起源]]からのアクセスを許可することができます。
178			-- [13] [[Microsoft]] が提案し、 [[WinIE 8]] で実装している
179	wakaba	1.1	[CODE(DOMi)@en[[[XDomainRequest]]]] を用いると、
180			異なる[[ドメイン]]の[[資源]]にアクセスできます。
181			- [14] [[WinIE]] で実装されている[[セキュリティ・ゾーン]]の機能により、
182			[[イントラネット]]等[[ゾーン]]毎に、
183			[[同一起源方針]]を[[利用者]]の設定により緩和することができます。
184			-[17]
185			[[Adobe]] [[Air]] は異なる[[起源]]に対する [CODE(DOMi)@en[[[XMLHttpRequest]]]]
186			でのアクセスを可能にする [CODE(HTMLa)@en[[[allowcrossdomainxhr]]]]
187			[[属性]]を実装しています。
188			-[19] [CODE(DOMa)@en[[[globalStorage]]]]
189			--かつて [[HTML 5]] に含まれていました。
190			--現在は削除され、代わりに [CODE(DOMa)@en[[[localStorage]]]] が定義されていますが、
191			こちらは[[同一起源方針]]に完全に従っています。
192			-- [[Firefox]] 3 が実装しています。
193			-- [CODE(JS)@en[[[document]].[[domain]]]] [[DOM属性]]の設定と同じようなアクセス制約があります。
194	wakaba	1.18	- [44] [[Gecko]] は特権を取得することで一部制限を回避できるらしい
195			-- <https://developer.mozilla.org/ja/SOAP_in_Gecko-based_Browsers>
196	wakaba	1.1
197
198	wakaba	1.4	* 媒体
199
200			[30] [CITE[Re: Same-origin checking for media elements]] ([[Ian Hickson <ian@...>]] 著, [TIME[2008-11-17 01:37:36 +09:00]] 版) <http://permalink.gmane.org/gmane.org.w3c.whatwg.discuss/16571>
201
202			* 労働者
203
204			@@ ・・・
205
206	wakaba	1.2	* 局所ファイル
207	wakaba	1.1
208	wakaba	1.2	[27] [[HTML5]] は[[局所ファイル]]に関しては[[相互運用性]]に関係しないため適用範囲外として規定していません。
209	wakaba	1.1
210	wakaba	1.2	[28] [CITE@ja[Chromeセキュリティモデル、IE/Firefox/Safari/Operaのいいとこ取り \| エンタープライズ \| マイコミジャーナル]] ([[Mainichi Communications Inc.]] 著, [TIME[2008-12-09 08:24:36 +09:00]] 版) <http://journal.mycom.co.jp/news/2008/12/08/031/>
211	wakaba	1.1
212	wakaba	1.3	[29] [CITE[Chromium Blog: Security in Depth: Local Web Pages]] ([TIME[2008-12-13 15:47:53 +09:00]] 版) <http://blog.chromium.org/2008/12/security-in-depth-local-web-pages.html>
213
214	wakaba	1.1
215			* 歴史
216
217			[6] 同一起源方針は、 [[Netscape Navigator]] 2.0 で [[JavaScript]]
218			と共に導入され [SRC[>>1、>>2]]、2.01 および 2.02 で不具合の修正がなされました
219			[SRC[>>1]]。
220
221			[7] [[Internet Explorer]] をはじめとする他ブラウザも同様にこの制限を実装しましたが、
222			[[ECMAScript]] 仕様や [[DOM]] 仕様としての標準化の対象外とされ、
223			長らく明文化された規定が存在していませんでした。
224
225			[8] [[HTML DOM]] に関係する部分はようやく2005年頃に [[WHATWG]]
226			によって [[HTML 5]] 仕様の一部として仕様の明文化が行われ始めました。
227			また、 [[XMLHttpRequest]] に関しては [[HTML 5]] 仕様を参照する形で規定されています。
228
229			[[#comment]]
230
231
232			* メモ
233
234			[2]
235			[CITE[JavaScript Security: Same Origin]] ([CODE[2008-06-18 04:13:16 +09:00]] 版) <http://www.mozilla.org/projects/security/components/same-origin.html>
236
237			[1]
238	wakaba	1.10	[CITE@en[Same origin policy - Wikipedia, the free encyclopedia]] ([CODE[2008-07-02 01:06:45 +09:00]] 版) <http://en.wikipedia.org/wiki/Same_origin_policy>
239
240	wakaba	1.11	[35] [CITE@en-us[Same origin policy for JavaScript - MDC]] ([TIME[2009-02-17 13:34:30 +09:00]] 版) <https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript>
241
242			[36] [CITE[The Multi-Principal OS Construction of the Gazelle Web Browser - Microsoft Research]] ([TIME[2009-03-07 00:35:15 +09:00]] 版) <http://research.microsoft.com/apps/pubs/default.aspx?id=79655>
243
244	wakaba	1.17	[[Webブラウザー]]の[[プロセス]]を[[起源]]毎に分離することによって[[保安性]]の向上を図る[[論文]]だそうです。
245
246			[40] [CITE@en[(X)HTML5 Tracking]]
247			([TIME[2009-09-30 00:11:40 +09:00]] 版)
248			<http://html5.org/tools/web-apps-tracker?from=4041&to=4042>
249
250			[41] [CITE[IRC logs: freenode / #whatwg / 20100223]]
251			([TIME[2010-02-25 09:03:01 +09:00]] 版)
252			<http://krijnhoetmer.nl/irc-logs/whatwg/20100223>
253
254			[42] [CITE['''['''whatwg''']''' Canvas 2D Context Proposal: resetOriginClean]]
255			([TIME[2010-04-25 01:54:34 +09:00]] 版)
256	wakaba	1.21	<http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2010-April/026006.html>
257
258			[45] [CITE@en[Guidelines for Web Content Transformation Proxies 1.0]]
259			( ([TIME[2010-10-22 17:20:31 +09:00]] 版))
260			<http://www.w3.org/TR/2010/NOTE-ct-guidelines-20101026/#term-same-origin>
261
262			[46] [CITE@en[Web Applications 1.0 r5873 Make sure cross-origin fonts can't leak data via <canvas>.]]
263			( ([TIME[2011-02-11 10:48:00 +09:00]] 版))
264			<http://html5.org/tools/web-apps-tracker?from=5872&to=5873>
265
266			[47] [CITE[Embedder's Guide - V8 JavaScript Engine - Google Code]]
267			( ([TIME[2010-11-13 19:00:12 +09:00]] 版))
268			<http://code.google.com/intl/ja/apis/v8/embed.html>
269
270			[48] [CITE@en[draft-abarth-principles-of-origin-00 - Principles of the Same-Origin Policy]]
271			([TIME[2011-02-22 08:21:31 +09:00]] 版)
272			<http://tools.ietf.org/html/draft-abarth-principles-of-origin-00>
273
274			[49] [CITE@en[Thoughts on font linking and embedding]]
275			( ([[Maciej Stachowiak]] 著, [TIME[2011-02-17 04:28:23 +09:00]] 版))
276			<http://lists.w3.org/Archives/Public/public-webfonts-wg/2011Feb/0066.html>
277
278			[50] [CITE@en[Thoughts on font linking and embedding]]
279			( ([[Maciej Stachowiak]] 著, [TIME[2011-02-17 04:28:23 +09:00]] 版))
280			<http://lists.w3.org/Archives/Public/public-webfonts-wg/2011Feb/0066.html>
281
282			[51] [CITE['''['''whatwg''']''' Canvas and drawWindow]]
283			([TIME[2011-03-15 13:03:35 +09:00]] 版)
284			<http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2011-March/030862.html>
285
286			[52] [CITE[IRC logs: freenode / #whatwg / 20110202]]
287			( ([TIME[2011-03-19 11:10:11 +09:00]] 版))
288			<http://krijnhoetmer.nl/irc-logs/whatwg/20110202>
289
290			[53] [CITE[IRC logs: freenode / #whatwg / 20110214]]
291			( ([TIME[2011-03-23 00:25:04 +09:00]] 版))
292			<http://krijnhoetmer.nl/irc-logs/whatwg/20110214>
293
294			[54] [CITE[クロスドメイン通信方法のまとめ - nopnopの日記]]
295			( ([TIME[2011-04-24 11:59:01 +09:00]] 版))
296			<http://d.hatena.ne.jp/nopnop/20080408/1207669947>