ids/2/569.txt

[4]
[DFN[[RUBY[同一起源方針] [どういつきげんほうしん] [same origin policy]]]]は、
[[Web]] において、[[スクリプト]]が異なる[[起源]] (一般には[[ドメイン]])
に由来する[[物体]]に対してアクセスすることを制限する[[安全性]]に関する方針です。

;; [55] たまに [DFN[[[SOP]]]] と略されることがあります。

* 仕様書

[REFS[
- [5] '''[CITE@en[RFC 6454 - The Web Origin Concept]] ([TIME[2011-12-12 09:13:37 +09:00]] 版) <http://tools.ietf.org/html/rfc6454>'''
- [3]
[CITE@en-US-x-hixie[HTML 5]] ([TIME[2008-07-04 05:49:35 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#origin>
]REFS]

* 同一起源方針の原理

[56] [[Webアプリケーション]]は、[[鯖]]が提供した[[スクリプト]]等を [[Webブラウザー]]上の環境において実行、
評価するものですが、適切な[[セキュリティー・モデル]]が無ければ[[利用者]]やその他の人が意図しない有害な動作がなされてしまうかもしれません。
[[同一起源方針]]は [[Webブラウザー]]上で動作する[[Webアプリケーション]]のための[[セキュリティー・モデル]]として発展、収束してきたものです。
[[RFC 6454]] で [[Adam Barth]] は次の基本原理をまとめています。

- Trust
- Origin
- Authority
- Policy

** Trust

[57] [[同一起源方針]]においては [[URL]] によって [[trust]] を指定していると言えます。

[EG[
[58] 例えば [CODE(HTMLe)@en[[[script]]]] [[要素]]によって [[URL]] 
を指定して外部の[[スクリプト]]を読み込むことは、
自身の持つ[[特権]]を当該 [[URL]] に対して付与していることになります。
つまり当該 [[URL]] から得られる情報の[[一貫性]]を信頼 (trust) すると宣言していると言えます。
]EG]

[EG[
[59] また [CODE(HTMLe)@en[[[form]]]] [[要素]]によって [[POST]] 先の [[URL]]
を指定することは、秘密のデータを当該 [[URL]] に対して開示することになります。
つまり当該 [[URL]] に送られるデータの秘匿性を信頼 (trust) すると宣言していると言えます。
]EG]

** Origin

[60] あらゆる [[URL]] にそれぞれ個別の保護された領域を与えることもできますが、
それでは実用上不便なので、[[同一起源方針]]にあっては[[ドメイン]]などが共通する [[URL]] 群を
[[起源]] (origin) と呼び、これを保護の単位とします。

[EG[
[61] 例えば [CODE(URI)@en[http://example.com/]] と [CODE(URI)@en[http://example.com/~mypage/]]
は [CODE(URI)[http://example.com]] という共通の[[起源]]を持ちます。しかし
[CODE(URI)[http://www.example.com/]] や [CODE(URI)@en[http://example.com:8080/]]
の[[起源]]はそれぞれ
[CODE(URI)[http://www.example.com]] や [CODE(URI)@en[http://example.com:8080]]
であり、異なります。
]EG]

** Authority

[62] [[起源]]が同じであっても、[[資源]]はそれぞれの権限 (authority) を持っています。
どれだけの権限を与えるかは [[MIME型]]により決まります。

[EG[
[63] 例えば [CODE(MIME)@en[[[image/png]]]] の[[資源]]は[[画像]]であり、 [[API]]
その他へのアクセス権を有しません。一方 [CODE(MIME)@en[[[text/html]]]] の[[資源]]は
[[HTML文書]]であり、[[スクリプト]]の実行その他の様々な権限を有します。
]EG]

** Policy

[64] [[同一起源方針]]においては[[起源]]はそれぞれ別に管理されており、他の[[起源]]との通信は制限されています。
他の[[起源]]の[[API]]アクセスは原則として禁止されていますし、他の[[起源]]の[[資源]]を読み取ることもできません。
他の[[起源]]に情報を送ることは認められていますが、一部の決められた形式に制限されています。

[EG[
[65] 例えば [[DOM]] の [[API]] によって他の[[起源]]の[[文書]]にアクセスすることはできません。
[CODE(DOM)@en[[[postMessage]]]] など例外はありますが、それ以外は [[Webブラウザー]]により厳密に管理されています。
]EG]

[EG[
[66] [[XHR]] によって他の[[起源]]の[[資源]]を読み取ることは、 [[CORS]] により例外的に認められていない限り、
禁止されています。
]EG]

* 適用対象

[9]

@@ このリストは不完全です。

-[20] [CODE(DOMa)@en[[[window]]]] や [CODE(DOMa)@en[[[document]]]] や
[CODE(DOMa)@en[[[location]]]]
の[[メンバー]] (一部例外を除きます。) に対する[[スクリプト]]からのアクセス
[SRC@en[[[HTML 5]]]]
--[26] ただし、[[Webブラウザ]]によっては、 [[HTML 5]] で例外とされている[[メンバー]]以外にも異なる[[起源]]の[[スクリプト]]からアクセスできてしまいます。
(例えば [[Gecko]] では [CODE(DOMa)@en[[[name]]]] や [CODE(DOMa)@en[[[status]]]] にアクセスできます。
[CODE(DOMa)@en[[[name]]]] の項を参照。)
-[23] [[CSSOM]] へのアクセス [SRC[仕様なし]]
- [33] 外部資源へのアクセス
--[21] [CODE(DOMi)@en[[[XMLHttpRequest]]]] による[[外部資源]]へのアクセス
[SRC@en[[[XMLHttpRequest]], [[XMLHttpRequest]] 2]]
--[22] [[WebSocket]] による接続 [SRC@en[[[HTML 5]]]]
--[31] [CODE(DOMi)@en[[[Document]]]] [[オブジェクト]]の
[CODE(DOMm)@en[[[load]]]] で読み込める [[URL]]
[DEL[([[MSXML]]、[[Gecko]] など; [[DOM3LS]] [[CR]] にあったが同一起源方針に関する仕様はなし)]] [SRC[>>71]]
--- [71] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#dom-xmldocument-load>
-- [34] [[XSLT]] [CODE(XPathf)@en[[[document()]]]] [[関数]]による別[[起源]]の[[資源]]へのアクセス [SRC[仕様なし]]
-[37] [CODE(DOMa)@en[[[mozIsLocallyAvailable]]]]
- [43] [[SOAP]]
-- <https://developer.mozilla.org/ja/SOAP_in_Gecko-based_Browsers>
- [73] [CODE(DOM)@en[[[onerror]]]]
-- [CODE(HTMLe)@en[[[iframe]]]]: [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#the-iframe-element>
- [74] [CODE(HTMLa)@en[[[seamless]]]]
-- [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#attr-iframe-seamless>
- [77] [CODE(HTMLe)@en[[[canvas]]]] の[[起源汚染]]
-- [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#security-with-canvas-elements>
- [75] [[Web Fonts]] の利用
-- [76] [CODE(DOMm)@en[[[measureText]]]] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#dom-context-2d-measuretext>
- [78] [CODE(HTMLa)@en[[[autofocus]]]] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#attr-fe-autofocus>
- [80] [CODE(HTMLa)@en[[[ping]]]] [[要求]] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#hyperlink-auditing>

* 起源の値によって動作が変わるもの

- [68] [[fetch]] において [CODE(HTTP)@en[[[Referer:]]]] を送出する条件
-- [[起源]]が[[3項組]]で''なければ''、 [CODE(HTTP)@en[[[Referer:]]]] を送っては[['''なりません''']] [SRC[>>67]]。
-- [67] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#fetch>
- [70] [CODE(JS)@en[[[document.cookie]]]] を使える条件
-- [[起源]]が[[3項組]]で''なければ''、 [CODE(JS)@en[[[document.cookie]]]] には読み書きできません [SRC[>>69]]。
-- [69] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#dom-document-cookie>
- [79] [[ダウンロード]]時の[[ファイル名]] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#downloading-hyperlinks>

* 適用対象外

[10]
歴史的な理由により、次の場合には同一起源方針は適用されません。
- [CODE(HTMLa)@en[[[src]]]] [[属性]]、
[CODE(HTMLe)@en[[[object]]]] [[要素]]、
[CODE(HTMLe)@en[[[embed]]]] [[要素]]、
[CODE(HTMLe)@en[[[link]]]] [[要素]]などによる外部[[資源]]の埋め込み
-- [CODE(HTMLe)@en[[[img]]]] [[要素]]や [CODE(HTMLe)@en[[[iframe]]]]
[[要素]]など
-- [CODE(HTMLe)@en[[[script]]]] [[要素]]による外部[[スクリプト]]の参照も含みます。
これがそもそも設計上の意図的なものなのか、設計ミスなのかはわかりませんが、
[[JSONP]] などで同一起源方針を擦り抜けるテクニックとしてよく利用されています。
-- これらの[[要素]]や[[属性]]を使うと、本来[[スクリプト]]から取得できないべきである、
異なる[[起源]]の情報を取得することができてしまいます。前述のスクリプト実行だけでなく、
例えば、[[画像]]の大きさを取得することで、その内容を推測できてしまうかもしれません。
-- 外部[[スタイル・シート]]については、非同一起源でも読み込まれて文書に適用されますが、
[[スクリプト]]による [[CSSOM]] の参照に関しては同一起源方針の適用対象になります
(ただし各[[ブラウザ]]とも動作が怪しい)。
-- 外部 [[CSS]] [[スタイル・シート]]中の
[CODE(CSS)@en[[[expression]]()]]
- [[画像]]系 [[CSS]] [[特性]]による外部[[画像]]の埋め込み
- [CODE(CSS)@en[[[-moz-binding]]]] [[特性]]による外部 [[XBL 1.0]]
[[文書]]の読み込み
- [CODE(CSS)@en[@[[import]]]] による外部 [[CSS]] [[スタイル・シート]]の[[輸入]]
- [[Webフォント]]
-- 一部ブラウザ実装。今後の動向次第で変更される可能性あり。
-[18] [[Cookie]]
-- [CODE(HTTP)@en[[[Set-Cookie]]:]] [[頭欄]]内で発行対象の[[ドメイン]]を指定できます。
-- [CODE(JS)@en[[[document.cookie]]]] を使っても書き込みできます。
-[25] [CODE(DOMm)@en[[[postMessage]]]] [[メソッド]]を使うと、
異なる[[起源]]の [[Web頁]]に対して文字列を伝達できます。
-[32] [CODE(HTMLa)@en[[[marginwidth]]]] など[[フレーム]]内の[[余白]]を設定する[[属性]]を使うと、
[[フレーム集合文書]]とは異なる[[起源]]の[[フレーム]]内[[文書]]の[[余白]]を設定できます。
-- [[フレーム]]は [[CSS]] によるレンダリング・モデル以前に実装された歴史的経緯によります。
- [38] [CODE(JS)@en[[[window.name]]]]
- [39] [CODE(HTMLa)@en[[[marginheight]]]], [CODE(HTMLa)@en[[[marginwidth]]]]

[16] 要確認:
- [[XSLT]] [[スタイル・シート]]

* [11] 制約の緩和

- [15] [CODE(JS)@en[[[document]].[[domain]]]] [[DOM属性]]に値を設定することにより、
[[起源]]となる[[ドメイン名]]を変更することができます。
--ただし、新しい[[ドメイン名]]は元の[[ドメイン名]]の上位階層に当たるものでなければなりません。
- [12] [[CORS]] により、''外部[[資源]]は''、異なる[[起源]]からのアクセスを許可することができます。
-- [13] [[Microsoft]] が提案し、 [[WinIE 8]] で実装している
[CODE(DOMi)@en[[[XDomainRequest]]]] を用いると、
異なる[[ドメイン]]の[[資源]]にアクセスできます。
- [14] [[WinIE]] で実装されている[[セキュリティ・ゾーン]]の機能により、
[[イントラネット]]等[[ゾーン]]毎に、
[[同一起源方針]]を[[利用者]]の設定により緩和することができます。
-[17]
[[Adobe]] [[Air]] は異なる[[起源]]に対する [CODE(DOMi)@en[[[XMLHttpRequest]]]]
でのアクセスを可能にする [CODE(HTMLa)@en[[[allowcrossdomainxhr]]]]
[[属性]]を実装しています。
-[19] [CODE(DOMa)@en[[[globalStorage]]]]
--かつて [[HTML 5]] に含まれていました。
--現在は削除され、代わりに [CODE(DOMa)@en[[[localStorage]]]] が定義されていますが、
こちらは[[同一起源方針]]に完全に従っています。
-- [[Firefox]] 3 が実装しています。
-- [CODE(JS)@en[[[document]].[[domain]]]] [[DOM属性]]の設定と同じようなアクセス制約があります。
- [44] [[Gecko]] は特権を取得することで一部制限を回避できるらしい
-- <https://developer.mozilla.org/ja/SOAP_in_Gecko-based_Browsers>


* 媒体

[30] [CITE[Re: Same-origin checking for media elements]] ([[Ian Hickson <ian@...>]] 著, [TIME[2008-11-17 01:37:36 +09:00]] 版) <http://permalink.gmane.org/gmane.org.w3c.whatwg.discuss/16571>

* 労働者

@@ ・・・

* 局所ファイル

[27] [[HTML5]] は[[局所ファイル]]に関しては[[相互運用性]]に関係しないため適用範囲外として規定していません。

[28] [CITE@ja[Chromeセキュリティモデル、IE/Firefox/Safari/Operaのいいとこ取り | エンタープライズ | マイコミジャーナル]] ([[Mainichi Communications Inc.]] 著, [TIME[2008-12-09 08:24:36 +09:00]] 版) <http://journal.mycom.co.jp/news/2008/12/08/031/>

[29] [CITE[Chromium Blog: Security in Depth: Local Web Pages]] ([TIME[2008-12-13 15:47:53 +09:00]] 版) <http://blog.chromium.org/2008/12/security-in-depth-local-web-pages.html>


* 歴史

[6] 同一起源方針は、 [[Netscape Navigator]] 2.0 で [[JavaScript]]
と共に導入され [SRC[>>1、>>2]]、2.01 および 2.02 で不具合の修正がなされました
[SRC[>>1]]。

[7] [[Internet Explorer]] をはじめとする他ブラウザも同様にこの制限を実装しましたが、
[[ECMAScript]] 仕様や [[DOM]] 仕様としての標準化の対象外とされ、
長らく明文化された規定が存在していませんでした。

[8] [[HTML DOM]] に関係する部分はようやく2005年頃に [[WHATWG]]
によって [[HTML 5]] 仕様の一部として仕様の明文化が行われ始めました。
また、 [[XMLHttpRequest]] に関しては [[HTML 5]] 仕様を参照する形で規定されています。

[[#comment]]


* メモ

[2]
[CITE[JavaScript Security: Same Origin]] ([CODE[2008-06-18 04:13:16 +09:00]] 版) <http://www.mozilla.org/projects/security/components/same-origin.html>

[1]
[CITE@en[Same origin policy - Wikipedia, the free encyclopedia]] ([CODE[2008-07-02 01:06:45 +09:00]] 版) <http://en.wikipedia.org/wiki/Same_origin_policy>

[35] [CITE@en-us[Same origin policy for JavaScript - MDC]] ([TIME[2009-02-17 13:34:30 +09:00]] 版) <https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript>

[36] [CITE[The Multi-Principal OS Construction of the Gazelle Web Browser - Microsoft Research]] ([TIME[2009-03-07 00:35:15 +09:00]] 版) <http://research.microsoft.com/apps/pubs/default.aspx?id=79655>

[[Webブラウザー]]の[[プロセス]]を[[起源]]毎に分離することによって[[保安性]]の向上を図る[[論文]]だそうです。

[40] [CITE@en[(X)HTML5 Tracking]]
([TIME[2009-09-30 00:11:40 +09:00]] 版)
<http://html5.org/tools/web-apps-tracker?from=4041&to=4042>

[41] [CITE[IRC logs: freenode / #whatwg / 20100223]]
([TIME[2010-02-25 09:03:01 +09:00]] 版)
<http://krijnhoetmer.nl/irc-logs/whatwg/20100223>

[42] [CITE['''['''whatwg''']''' Canvas 2D Context Proposal: resetOriginClean]]
([TIME[2010-04-25 01:54:34 +09:00]] 版)
<http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2010-April/026006.html>

[45] [CITE@en[Guidelines for Web Content Transformation Proxies 1.0]]
( ([TIME[2010-10-22 17:20:31 +09:00]] 版))
<http://www.w3.org/TR/2010/NOTE-ct-guidelines-20101026/#term-same-origin>

[46] [CITE@en[Web Applications 1.0 r5873     Make sure cross-origin fonts can't leak data via <canvas>.]]
( ([TIME[2011-02-11 10:48:00 +09:00]] 版))
<http://html5.org/tools/web-apps-tracker?from=5872&to=5873>

[47] [CITE[Embedder's Guide - V8 JavaScript Engine - Google Code]]
( ([TIME[2010-11-13 19:00:12 +09:00]] 版))
<http://code.google.com/intl/ja/apis/v8/embed.html>

[48] [CITE@en[draft-abarth-principles-of-origin-00 - Principles of the Same-Origin Policy]]
([TIME[2011-02-22 08:21:31 +09:00]] 版)
<http://tools.ietf.org/html/draft-abarth-principles-of-origin-00>

[49] [CITE@en[Thoughts on font linking and embedding]]
( ([[Maciej Stachowiak]] 著, [TIME[2011-02-17 04:28:23 +09:00]] 版))
<http://lists.w3.org/Archives/Public/public-webfonts-wg/2011Feb/0066.html>

[50] [CITE@en[Thoughts on font linking and embedding]]
( ([[Maciej Stachowiak]] 著, [TIME[2011-02-17 04:28:23 +09:00]] 版))
<http://lists.w3.org/Archives/Public/public-webfonts-wg/2011Feb/0066.html>

[51] [CITE['''['''whatwg''']''' Canvas and drawWindow]]
([TIME[2011-03-15 13:03:35 +09:00]] 版)
<http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2011-March/030862.html>

[52] [CITE[IRC logs: freenode / #whatwg / 20110202]]
( ([TIME[2011-03-19 11:10:11 +09:00]] 版))
<http://krijnhoetmer.nl/irc-logs/whatwg/20110202>

[53] [CITE[IRC logs: freenode / #whatwg / 20110214]]
( ([TIME[2011-03-23 00:25:04 +09:00]] 版))
<http://krijnhoetmer.nl/irc-logs/whatwg/20110214>

[54] [CITE[クロスドメイン通信方法のまとめ - nopnopの日記]]
( ([TIME[2011-04-24 11:59:01 +09:00]] 版))
<http://d.hatena.ne.jp/nopnop/20080408/1207669947>
1	wakaba	1.1	[4]
2			[DFN[[RUBY[同一起源方針] [どういつきげんほうしん] [same origin policy]]]]は、
3			[[Web]] において、[[スクリプト]]が異なる[[起源]] (一般には[[ドメイン]])
4			に由来する[[物体]]に対してアクセスすることを制限する[[安全性]]に関する方針です。
5
6	wakaba	1.22	;; [55] たまに [DFN[[[SOP]]]] と略されることがあります。
7
8			* 仕様書
9
10			[REFS[
11	wakaba	1.26	- [5] '''[CITE@en[RFC 6454 - The Web Origin Concept]] ([TIME[2011-12-12 09:13:37 +09:00]] 版) <http://tools.ietf.org/html/rfc6454>'''
12	wakaba	1.1	- [3]
13	wakaba	1.23	[CITE@en-US-x-hixie[HTML 5]] ([TIME[2008-07-04 05:49:35 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#origin>
14	wakaba	1.22	]REFS]
15	wakaba	1.1
16	wakaba	1.23	* 同一起源方針の原理
17
18			[56] [[Webアプリケーション]]は、[[鯖]]が提供した[[スクリプト]]等を [[Webブラウザー]]上の環境において実行、
19			評価するものですが、適切な[[セキュリティー・モデル]]が無ければ[[利用者]]やその他の人が意図しない有害な動作がなされてしまうかもしれません。
20			[[同一起源方針]]は [[Webブラウザー]]上で動作する[[Webアプリケーション]]のための[[セキュリティー・モデル]]として発展、収束してきたものです。
21			[[RFC 6454]] で [[Adam Barth]] は次の基本原理をまとめています。
22
23			- Trust
24			- Origin
25			- Authority
26			- Policy
27
28	wakaba	1.24	** Trust
29
30			[57] [[同一起源方針]]においては [[URL]] によって [[trust]] を指定していると言えます。
31
32			[EG[
33			[58] 例えば [CODE(HTMLe)@en[[[script]]]] [[要素]]によって [[URL]]
34			を指定して外部の[[スクリプト]]を読み込むことは、
35			自身の持つ[[特権]]を当該 [[URL]] に対して付与していることになります。
36			つまり当該 [[URL]] から得られる情報の[[一貫性]]を信頼 (trust) すると宣言していると言えます。
37			]EG]
38
39			[EG[
40			[59] また [CODE(HTMLe)@en[[[form]]]] [[要素]]によって [[POST]] 先の [[URL]]
41			を指定することは、秘密のデータを当該 [[URL]] に対して開示することになります。
42			つまり当該 [[URL]] に送られるデータの秘匿性を信頼 (trust) すると宣言していると言えます。
43			]EG]
44
45			** Origin
46
47			[60] あらゆる [[URL]] にそれぞれ個別の保護された領域を与えることもできますが、
48			それでは実用上不便なので、[[同一起源方針]]にあっては[[ドメイン]]などが共通する [[URL]] 群を
49			[[起源]] (origin) と呼び、これを保護の単位とします。
50
51			[EG[
52			[61] 例えば [CODE(URI)@en[http://example.com/]] と [CODE(URI)@en[http://example.com/~mypage/]]
53			は [CODE(URI)[http://example.com]] という共通の[[起源]]を持ちます。しかし
54			[CODE(URI)[http://www.example.com/]] や [CODE(URI)@en[http://example.com:8080/]]
55			の[[起源]]はそれぞれ
56			[CODE(URI)[http://www.example.com]] や [CODE(URI)@en[http://example.com:8080]]
57			であり、異なります。
58			]EG]
59
60			** Authority
61
62			[62] [[起源]]が同じであっても、[[資源]]はそれぞれの権限 (authority) を持っています。
63			どれだけの権限を与えるかは [[MIME型]]により決まります。
64
65			[EG[
66			[63] 例えば [CODE(MIME)@en[[[image/png]]]] の[[資源]]は[[画像]]であり、 [[API]]
67			その他へのアクセス権を有しません。一方 [CODE(MIME)@en[[[text/html]]]] の[[資源]]は
68			[[HTML文書]]であり、[[スクリプト]]の実行その他の様々な権限を有します。
69			]EG]
70
71			** Policy
72
73			[64] [[同一起源方針]]においては[[起源]]はそれぞれ別に管理されており、他の[[起源]]との通信は制限されています。
74			他の[[起源]]の[[API]]アクセスは原則として禁止されていますし、他の[[起源]]の[[資源]]を読み取ることもできません。
75			他の[[起源]]に情報を送ることは認められていますが、一部の決められた形式に制限されています。
76	wakaba	1.23
77	wakaba	1.25	[EG[
78			[65] 例えば [[DOM]] の [[API]] によって他の[[起源]]の[[文書]]にアクセスすることはできません。
79			[CODE(DOM)@en[[[postMessage]]]] など例外はありますが、それ以外は [[Webブラウザー]]により厳密に管理されています。
80			]EG]
81
82			[EG[
83			[66] [[XHR]] によって他の[[起源]]の[[資源]]を読み取ることは、 [[CORS]] により例外的に認められていない限り、
84			禁止されています。
85			]EG]
86
87	wakaba	1.1	* 適用対象
88
89			[9]
90
91			@@ このリストは不完全です。
92
93			-[20] [CODE(DOMa)@en[[[window]]]] や [CODE(DOMa)@en[[[document]]]] や
94			[CODE(DOMa)@en[[[location]]]]
95			の[[メンバー]] (一部例外を除きます。) に対する[[スクリプト]]からのアクセス
96			[SRC@en[[[HTML 5]]]]
97			--[26] ただし、[[Webブラウザ]]によっては、 [[HTML 5]] で例外とされている[[メンバー]]以外にも異なる[[起源]]の[[スクリプト]]からアクセスできてしまいます。
98			(例えば [[Gecko]] では [CODE(DOMa)@en[[[name]]]] や [CODE(DOMa)@en[[[status]]]] にアクセスできます。
99			[CODE(DOMa)@en[[[name]]]] の項を参照。)
100	wakaba	1.9	-[23] [[CSSOM]] へのアクセス [SRC[仕様なし]]
101			- [33] 外部資源へのアクセス
102			--[21] [CODE(DOMi)@en[[[XMLHttpRequest]]]] による[[外部資源]]へのアクセス
103	wakaba	1.1	[SRC@en[[[XMLHttpRequest]], [[XMLHttpRequest]] 2]]
104	wakaba	1.9	--[22] [[WebSocket]] による接続 [SRC@en[[[HTML 5]]]]
105			--[31] [CODE(DOMi)@en[[[Document]]]] [[オブジェクト]]の
106	wakaba	1.6	[CODE(DOMm)@en[[[load]]]] で読み込める [[URL]]
107	wakaba	1.27	[DEL[([[MSXML]]、[[Gecko]] など; [[DOM3LS]] [[CR]] にあったが同一起源方針に関する仕様はなし)]] [SRC[>>71]]
108	wakaba	1.28	--- [71] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#dom-xmldocument-load>
109	wakaba	1.9	-- [34] [[XSLT]] [CODE(XPathf)@en[[[document()]]]] [[関数]]による別[[起源]]の[[資源]]へのアクセス [SRC[仕様なし]]
110	wakaba	1.12	-[37] [CODE(DOMa)@en[[[mozIsLocallyAvailable]]]]
111	wakaba	1.18	- [43] [[SOAP]]
112			-- <https://developer.mozilla.org/ja/SOAP_in_Gecko-based_Browsers>
113	wakaba	1.27	- [73] [CODE(DOM)@en[[[onerror]]]]
114			-- [CODE(HTMLe)@en[[[iframe]]]]: [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#the-iframe-element>
115	wakaba	1.28	- [74] [CODE(HTMLa)@en[[[seamless]]]]
116			-- [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#attr-iframe-seamless>
117			- [77] [CODE(HTMLe)@en[[[canvas]]]] の[[起源汚染]]
118			-- [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#security-with-canvas-elements>
119			- [75] [[Web Fonts]] の利用
120			-- [76] [CODE(DOMm)@en[[[measureText]]]] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#dom-context-2d-measuretext>
121	wakaba	1.29	- [78] [CODE(HTMLa)@en[[[autofocus]]]] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#attr-fe-autofocus>
122	wakaba	1.31	- [80] [CODE(HTMLa)@en[[[ping]]]] [[要求]] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#hyperlink-auditing>
123	wakaba	1.1
124	wakaba	1.26	* 起源の値によって動作が変わるもの
125	wakaba	1.1
126	wakaba	1.26	- [68] [[fetch]] において [CODE(HTTP)@en[[[Referer:]]]] を送出する条件
127			-- [[起源]]が[[3項組]]で''なければ''、 [CODE(HTTP)@en[[[Referer:]]]] を送っては[['''なりません''']] [SRC[>>67]]。
128	wakaba	1.28	-- [67] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#fetch>
129	wakaba	1.27	- [70] [CODE(JS)@en[[[document.cookie]]]] を使える条件
130			-- [[起源]]が[[3項組]]で''なければ''、 [CODE(JS)@en[[[document.cookie]]]] には読み書きできません [SRC[>>69]]。
131	wakaba	1.28	-- [69] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#dom-document-cookie>
132	wakaba	1.30	- [79] [[ダウンロード]]時の[[ファイル名]] [CITE@en-US-x-hixie[HTML Standard]] ([TIME[2012-02-22 20:11:59 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#downloading-hyperlinks>
133	wakaba	1.1
134			* 適用対象外
135
136			[10]
137			歴史的な理由により、次の場合には同一起源方針は適用されません。
138			- [CODE(HTMLa)@en[[[src]]]] [[属性]]、
139			[CODE(HTMLe)@en[[[object]]]] [[要素]]、
140			[CODE(HTMLe)@en[[[embed]]]] [[要素]]、
141			[CODE(HTMLe)@en[[[link]]]] [[要素]]などによる外部[[資源]]の埋め込み
142			-- [CODE(HTMLe)@en[[[img]]]] [[要素]]や [CODE(HTMLe)@en[[[iframe]]]]
143			[[要素]]など
144			-- [CODE(HTMLe)@en[[[script]]]] [[要素]]による外部[[スクリプト]]の参照も含みます。
145			これがそもそも設計上の意図的なものなのか、設計ミスなのかはわかりませんが、
146			[[JSONP]] などで同一起源方針を擦り抜けるテクニックとしてよく利用されています。
147			-- これらの[[要素]]や[[属性]]を使うと、本来[[スクリプト]]から取得できないべきである、
148			異なる[[起源]]の情報を取得することができてしまいます。前述のスクリプト実行だけでなく、
149			例えば、[[画像]]の大きさを取得することで、その内容を推測できてしまうかもしれません。
150			-- 外部[[スタイル・シート]]については、非同一起源でも読み込まれて文書に適用されますが、
151			[[スクリプト]]による [[CSSOM]] の参照に関しては同一起源方針の適用対象になります
152			(ただし各[[ブラウザ]]とも動作が怪しい)。
153			-- 外部 [[CSS]] [[スタイル・シート]]中の
154			[CODE(CSS)@en[[[expression]]()]]
155			- [[画像]]系 [[CSS]] [[特性]]による外部[[画像]]の埋め込み
156			- [CODE(CSS)@en[[[-moz-binding]]]] [[特性]]による外部 [[XBL 1.0]]
157			[[文書]]の読み込み
158			- [CODE(CSS)@en[@[[import]]]] による外部 [[CSS]] [[スタイル・シート]]の[[輸入]]
159			- [[Webフォント]]
160			-- 一部ブラウザ実装。今後の動向次第で変更される可能性あり。
161			-[18] [[Cookie]]
162			-- [CODE(HTTP)@en[[[Set-Cookie]]:]] [[頭欄]]内で発行対象の[[ドメイン]]を指定できます。
163	wakaba	1.17	-- [CODE(JS)@en[[[document.cookie]]]] を使っても書き込みできます。
164	wakaba	1.8	-[25] [CODE(DOMm)@en[[[postMessage]]]] [[メソッド]]を使うと、
165			異なる[[起源]]の [[Web頁]]に対して文字列を伝達できます。
166			-[32] [CODE(HTMLa)@en[[[marginwidth]]]] など[[フレーム]]内の[[余白]]を設定する[[属性]]を使うと、
167			[[フレーム集合文書]]とは異なる[[起源]]の[[フレーム]]内[[文書]]の[[余白]]を設定できます。
168			-- [[フレーム]]は [[CSS]] によるレンダリング・モデル以前に実装された歴史的経緯によります。
169	wakaba	1.13	- [38] [CODE(JS)@en[[[window.name]]]]
170			- [39] [CODE(HTMLa)@en[[[marginheight]]]], [CODE(HTMLa)@en[[[marginwidth]]]]
171	wakaba	1.8
172			[16] 要確認:
173			- [[XSLT]] [[スタイル・シート]]
174
175			* [11] 制約の緩和
176	wakaba	1.1
177			- [15] [CODE(JS)@en[[[document]].[[domain]]]] [[DOM属性]]に値を設定することにより、
178			[[起源]]となる[[ドメイン名]]を変更することができます。
179			--ただし、新しい[[ドメイン名]]は元の[[ドメイン名]]の上位階層に当たるものでなければなりません。
180	wakaba	1.17	- [12] [[CORS]] により、''外部[[資源]]は''、異なる[[起源]]からのアクセスを許可することができます。
181			-- [13] [[Microsoft]] が提案し、 [[WinIE 8]] で実装している
182	wakaba	1.1	[CODE(DOMi)@en[[[XDomainRequest]]]] を用いると、
183			異なる[[ドメイン]]の[[資源]]にアクセスできます。
184			- [14] [[WinIE]] で実装されている[[セキュリティ・ゾーン]]の機能により、
185			[[イントラネット]]等[[ゾーン]]毎に、
186			[[同一起源方針]]を[[利用者]]の設定により緩和することができます。
187			-[17]
188			[[Adobe]] [[Air]] は異なる[[起源]]に対する [CODE(DOMi)@en[[[XMLHttpRequest]]]]
189			でのアクセスを可能にする [CODE(HTMLa)@en[[[allowcrossdomainxhr]]]]
190			[[属性]]を実装しています。
191			-[19] [CODE(DOMa)@en[[[globalStorage]]]]
192			--かつて [[HTML 5]] に含まれていました。
193			--現在は削除され、代わりに [CODE(DOMa)@en[[[localStorage]]]] が定義されていますが、
194			こちらは[[同一起源方針]]に完全に従っています。
195			-- [[Firefox]] 3 が実装しています。
196			-- [CODE(JS)@en[[[document]].[[domain]]]] [[DOM属性]]の設定と同じようなアクセス制約があります。
197	wakaba	1.18	- [44] [[Gecko]] は特権を取得することで一部制限を回避できるらしい
198			-- <https://developer.mozilla.org/ja/SOAP_in_Gecko-based_Browsers>
199	wakaba	1.1
200
201	wakaba	1.4	* 媒体
202
203			[30] [CITE[Re: Same-origin checking for media elements]] ([[Ian Hickson <ian@...>]] 著, [TIME[2008-11-17 01:37:36 +09:00]] 版) <http://permalink.gmane.org/gmane.org.w3c.whatwg.discuss/16571>
204
205			* 労働者
206
207			@@ ・・・
208
209	wakaba	1.2	* 局所ファイル
210	wakaba	1.1
211	wakaba	1.2	[27] [[HTML5]] は[[局所ファイル]]に関しては[[相互運用性]]に関係しないため適用範囲外として規定していません。
212	wakaba	1.1
213	wakaba	1.2	[28] [CITE@ja[Chromeセキュリティモデル、IE/Firefox/Safari/Operaのいいとこ取り \| エンタープライズ \| マイコミジャーナル]] ([[Mainichi Communications Inc.]] 著, [TIME[2008-12-09 08:24:36 +09:00]] 版) <http://journal.mycom.co.jp/news/2008/12/08/031/>
214	wakaba	1.1
215	wakaba	1.3	[29] [CITE[Chromium Blog: Security in Depth: Local Web Pages]] ([TIME[2008-12-13 15:47:53 +09:00]] 版) <http://blog.chromium.org/2008/12/security-in-depth-local-web-pages.html>
216
217	wakaba	1.1
218			* 歴史
219
220			[6] 同一起源方針は、 [[Netscape Navigator]] 2.0 で [[JavaScript]]
221			と共に導入され [SRC[>>1、>>2]]、2.01 および 2.02 で不具合の修正がなされました
222			[SRC[>>1]]。
223
224			[7] [[Internet Explorer]] をはじめとする他ブラウザも同様にこの制限を実装しましたが、
225			[[ECMAScript]] 仕様や [[DOM]] 仕様としての標準化の対象外とされ、
226			長らく明文化された規定が存在していませんでした。
227
228			[8] [[HTML DOM]] に関係する部分はようやく2005年頃に [[WHATWG]]
229			によって [[HTML 5]] 仕様の一部として仕様の明文化が行われ始めました。
230			また、 [[XMLHttpRequest]] に関しては [[HTML 5]] 仕様を参照する形で規定されています。
231
232			[[#comment]]
233
234
235			* メモ
236
237			[2]
238			[CITE[JavaScript Security: Same Origin]] ([CODE[2008-06-18 04:13:16 +09:00]] 版) <http://www.mozilla.org/projects/security/components/same-origin.html>
239
240			[1]
241	wakaba	1.10	[CITE@en[Same origin policy - Wikipedia, the free encyclopedia]] ([CODE[2008-07-02 01:06:45 +09:00]] 版) <http://en.wikipedia.org/wiki/Same_origin_policy>
242
243	wakaba	1.11	[35] [CITE@en-us[Same origin policy for JavaScript - MDC]] ([TIME[2009-02-17 13:34:30 +09:00]] 版) <https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript>
244
245			[36] [CITE[The Multi-Principal OS Construction of the Gazelle Web Browser - Microsoft Research]] ([TIME[2009-03-07 00:35:15 +09:00]] 版) <http://research.microsoft.com/apps/pubs/default.aspx?id=79655>
246
247	wakaba	1.17	[[Webブラウザー]]の[[プロセス]]を[[起源]]毎に分離することによって[[保安性]]の向上を図る[[論文]]だそうです。
248
249			[40] [CITE@en[(X)HTML5 Tracking]]
250			([TIME[2009-09-30 00:11:40 +09:00]] 版)
251			<http://html5.org/tools/web-apps-tracker?from=4041&to=4042>
252
253			[41] [CITE[IRC logs: freenode / #whatwg / 20100223]]
254			([TIME[2010-02-25 09:03:01 +09:00]] 版)
255			<http://krijnhoetmer.nl/irc-logs/whatwg/20100223>
256
257			[42] [CITE['''['''whatwg''']''' Canvas 2D Context Proposal: resetOriginClean]]
258			([TIME[2010-04-25 01:54:34 +09:00]] 版)
259	wakaba	1.21	<http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2010-April/026006.html>
260
261			[45] [CITE@en[Guidelines for Web Content Transformation Proxies 1.0]]
262			( ([TIME[2010-10-22 17:20:31 +09:00]] 版))
263			<http://www.w3.org/TR/2010/NOTE-ct-guidelines-20101026/#term-same-origin>
264
265			[46] [CITE@en[Web Applications 1.0 r5873 Make sure cross-origin fonts can't leak data via <canvas>.]]
266			( ([TIME[2011-02-11 10:48:00 +09:00]] 版))
267			<http://html5.org/tools/web-apps-tracker?from=5872&to=5873>
268
269			[47] [CITE[Embedder's Guide - V8 JavaScript Engine - Google Code]]
270			( ([TIME[2010-11-13 19:00:12 +09:00]] 版))
271			<http://code.google.com/intl/ja/apis/v8/embed.html>
272
273			[48] [CITE@en[draft-abarth-principles-of-origin-00 - Principles of the Same-Origin Policy]]
274			([TIME[2011-02-22 08:21:31 +09:00]] 版)
275			<http://tools.ietf.org/html/draft-abarth-principles-of-origin-00>
276
277			[49] [CITE@en[Thoughts on font linking and embedding]]
278			( ([[Maciej Stachowiak]] 著, [TIME[2011-02-17 04:28:23 +09:00]] 版))
279			<http://lists.w3.org/Archives/Public/public-webfonts-wg/2011Feb/0066.html>
280
281			[50] [CITE@en[Thoughts on font linking and embedding]]
282			( ([[Maciej Stachowiak]] 著, [TIME[2011-02-17 04:28:23 +09:00]] 版))
283			<http://lists.w3.org/Archives/Public/public-webfonts-wg/2011Feb/0066.html>
284
285			[51] [CITE['''['''whatwg''']''' Canvas and drawWindow]]
286			([TIME[2011-03-15 13:03:35 +09:00]] 版)
287			<http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2011-March/030862.html>
288
289			[52] [CITE[IRC logs: freenode / #whatwg / 20110202]]
290			( ([TIME[2011-03-19 11:10:11 +09:00]] 版))
291			<http://krijnhoetmer.nl/irc-logs/whatwg/20110202>
292
293			[53] [CITE[IRC logs: freenode / #whatwg / 20110214]]
294			( ([TIME[2011-03-23 00:25:04 +09:00]] 版))
295			<http://krijnhoetmer.nl/irc-logs/whatwg/20110214>
296
297			[54] [CITE[クロスドメイン通信方法のまとめ - nopnopの日記]]
298			( ([TIME[2011-04-24 11:59:01 +09:00]] 版))
299			<http://d.hatena.ne.jp/nopnop/20080408/1207669947>