[4]
[DFN[[RUBY[同一起源方針] [どういつきげんほうしん] [same origin policy]]]]は、
[[Web]] において、[[スクリプト]]が異なる[[起源]] (一般には[[ドメイン]])
に由来する[[物体]]に対してアクセスすることを制限する[[安全性]]に関する方針です。

[5] 仕様書:
- [3]
[CITE@en-US-x-hixie[HTML 5]] ([CODE[2008-07-04 05:49:35 +09:00]] 版) <http://www.whatwg.org/specs/web-apps/current-work/#origin>


* 適用対象

[9]

@@ このリストは不完全です。

-[20] [CODE(DOMa)@en[[[window]]]] や [CODE(DOMa)@en[[[document]]]] や
[CODE(DOMa)@en[[[location]]]]
の[[メンバー]] (一部例外を除きます。) に対する[[スクリプト]]からのアクセス
[SRC@en[[[HTML 5]]]]
--[26] ただし、[[Webブラウザ]]によっては、 [[HTML 5]] で例外とされている[[メンバー]]以外にも異なる[[起源]]の[[スクリプト]]からアクセスできてしまいます。
(例えば [[Gecko]] では [CODE(DOMa)@en[[[name]]]] や [CODE(DOMa)@en[[[status]]]] にアクセスできます。
[CODE(DOMa)@en[[[name]]]] の項を参照。)
-[21] [CODE(DOMi)@en[[[XMLHttpRequest]]]] による[[外部資源]]へのアクセス
[SRC@en[[[XMLHttpRequest]], [[XMLHttpRequest]] 2]]
-[22] [[WebSocket]] による接続 [SRC@en[[[HTML 5]]]]
-[23] [[CSSOM]] へのアクセス [SRC[仕様なし]]
-[31] [[MSXML]] で [CODE(DOMm)@en[[[load]]]] できる [[URL]]

[[#comment]]


* 適用対象外

[10]
歴史的な理由により、次の場合には同一起源方針は適用されません。
- [CODE(HTMLa)@en[[[src]]]] [[属性]]、
[CODE(HTMLe)@en[[[object]]]] [[要素]]、
[CODE(HTMLe)@en[[[embed]]]] [[要素]]、
[CODE(HTMLe)@en[[[link]]]] [[要素]]などによる外部[[資源]]の埋め込み
-- [CODE(HTMLe)@en[[[img]]]] [[要素]]や [CODE(HTMLe)@en[[[iframe]]]]
[[要素]]など
-- [CODE(HTMLe)@en[[[script]]]] [[要素]]による外部[[スクリプト]]の参照も含みます。
これがそもそも設計上の意図的なものなのか、設計ミスなのかはわかりませんが、
[[JSONP]] などで同一起源方針を擦り抜けるテクニックとしてよく利用されています。
-- これらの[[要素]]や[[属性]]を使うと、本来[[スクリプト]]から取得できないべきである、
異なる[[起源]]の情報を取得することができてしまいます。前述のスクリプト実行だけでなく、
例えば、[[画像]]の大きさを取得することで、その内容を推測できてしまうかもしれません。
-- 外部[[スタイル・シート]]については、非同一起源でも読み込まれて文書に適用されますが、
[[スクリプト]]による [[CSSOM]] の参照に関しては同一起源方針の適用対象になります
(ただし各[[ブラウザ]]とも動作が怪しい)。
-- 外部 [[CSS]] [[スタイル・シート]]中の
[CODE(CSS)@en[[[expression]]()]]
- [[画像]]系 [[CSS]] [[特性]]による外部[[画像]]の埋め込み
- [CODE(CSS)@en[[[-moz-binding]]]] [[特性]]による外部 [[XBL 1.0]]
[[文書]]の読み込み
- [CODE(CSS)@en[@[[import]]]] による外部 [[CSS]] [[スタイル・シート]]の[[輸入]]
- [[Webフォント]]
-- 一部ブラウザ実装。今後の動向次第で変更される可能性あり。
-[18] [[Cookie]]
-- [CODE(HTTP)@en[[[Set-Cookie]]:]] [[頭欄]]内で発行対象の[[ドメイン]]を指定できます。
-- [[Webブラウザ]]によって細部は異なると思いますが (要確認)、
[CODE(JS)@en[[[document]].[[domain]]]] [[DOM属性]]の設定と同じような制約があるはずです。

[11] 制約の緩和:
- [15] [CODE(JS)@en[[[document]].[[domain]]]] [[DOM属性]]に値を設定することにより、
[[起源]]となる[[ドメイン名]]を変更することができます。
--ただし、新しい[[ドメイン名]]は元の[[ドメイン名]]の上位階層に当たるものでなければなりません。
- [12] [CODE(HTTP)@en[[[Access-Control]]:]] [[頭欄]]や
[CODE(XML)@en[[[access-control]]]] [[処理指令]]を用いることによって、
''外部[[資源]]は''、異なる[[起源]]からの読み込みアクセスを許可することができます。
--[24] ただし、[[処理指令]]は (おそらくどの [[Webブラウザ]]にも実装されないまま) 
仕様案から削除されました、
- [13] [[Microsoft]] が提案し、 [[WinIE 8]] で実装している
[CODE(DOMi)@en[[[XDomainRequest]]]] を用いると、
異なる[[ドメイン]]の[[資源]]にアクセスできます。
- [14] [[WinIE]] で実装されている[[セキュリティ・ゾーン]]の機能により、
[[イントラネット]]等[[ゾーン]]毎に、
[[同一起源方針]]を[[利用者]]の設定により緩和することができます。
-[17]
[[Adobe]] [[Air]] は異なる[[起源]]に対する [CODE(DOMi)@en[[[XMLHttpRequest]]]]
でのアクセスを可能にする [CODE(HTMLa)@en[[[allowcrossdomainxhr]]]]
[[属性]]を実装しています。
-[19] [CODE(DOMa)@en[[[globalStorage]]]]
--かつて [[HTML 5]] に含まれていました。
--現在は削除され、代わりに [CODE(DOMa)@en[[[localStorage]]]] が定義されていますが、
こちらは[[同一起源方針]]に完全に従っています。
-- [[Firefox]] 3 が実装しています。
-- [CODE(JS)@en[[[document]].[[domain]]]] [[DOM属性]]の設定と同じようなアクセス制約があります。
-[25] [CODE(DOMm)@en[[[postMessage]]]] [[メソッド]]を使うと、
異なる[[起源]]の [[Web頁]]に対して文字列を伝達できます。


[16] 要確認:
- [[XSLT]] [[スタイル・シート]]

* 媒体

[30] [CITE[Re: Same-origin checking for media elements]] ([[Ian Hickson <ian@...>]] 著, [TIME[2008-11-17 01:37:36 +09:00]] 版) <http://permalink.gmane.org/gmane.org.w3c.whatwg.discuss/16571>

* 労働者

@@ ・・・

* 局所ファイル

[27] [[HTML5]] は[[局所ファイル]]に関しては[[相互運用性]]に関係しないため適用範囲外として規定していません。

[28] [CITE@ja[Chromeセキュリティモデル、IE/Firefox/Safari/Operaのいいとこ取り | エンタープライズ | マイコミジャーナル]] ([[Mainichi Communications Inc.]] 著, [TIME[2008-12-09 08:24:36 +09:00]] 版) <http://journal.mycom.co.jp/news/2008/12/08/031/>

[29] [CITE[Chromium Blog: Security in Depth: Local Web Pages]] ([TIME[2008-12-13 15:47:53 +09:00]] 版) <http://blog.chromium.org/2008/12/security-in-depth-local-web-pages.html>


* 歴史

[6] 同一起源方針は、 [[Netscape Navigator]] 2.0 で [[JavaScript]]
と共に導入され [SRC[>>1、>>2]]、2.01 および 2.02 で不具合の修正がなされました
[SRC[>>1]]。

[7] [[Internet Explorer]] をはじめとする他ブラウザも同様にこの制限を実装しましたが、
[[ECMAScript]] 仕様や [[DOM]] 仕様としての標準化の対象外とされ、
長らく明文化された規定が存在していませんでした。

[8] [[HTML DOM]] に関係する部分はようやく2005年頃に [[WHATWG]]
によって [[HTML 5]] 仕様の一部として仕様の明文化が行われ始めました。
また、 [[XMLHttpRequest]] に関しては [[HTML 5]] 仕様を参照する形で規定されています。

[[#comment]]


* メモ

[2]
[CITE[JavaScript Security: Same Origin]] ([CODE[2008-06-18 04:13:16 +09:00]] 版) <http://www.mozilla.org/projects/security/components/same-origin.html>

[1]
[CITE@en[Same origin policy - Wikipedia, the free encyclopedia]] ([CODE[2008-07-02 01:06:45 +09:00]] 版) <http://en.wikipedia.org/wiki/Same_origin_policy>