1. 同一生成元ポリシーとは
クロスドメインを理解するには、まず同一生成元ポリシーを理解する必要があります。同一生成元ポリシーは、セキュリティ上の理由からブラウザに実装される非常に重要なセキュリティ ポリシーです。
同じ起源とは:
URL はプロトコル、ドメイン名、ポート、パスで構成されます。2 つの URL のプロトコル、ドメイン名、ポートが同じである場合は、それらの URL の起源が同じであることを意味します。
同一生成元ポリシー:
ブラウザーの同一生成元ポリシーは、異なるソースからの「ドキュメント」またはスクリプトによる現在の「ドキュメント」の特定の属性の読み取りまたは設定を制限します。 (ホワイトハットが Web セキュリティについて語る [1])
あるドメインからロードされたスクリプトは、別のドメインのドキュメント プロパティにアクセスすることを許可されません。
例:
たとえば、悪意のある Web サイトのページには、iframe を介して銀行のログイン ページが埋め込まれています (2 つのソースは異なります)。送信元の制限がない場合、悪意のある Web ページの JavaScript スクリプトは、ユーザーは銀行にログインします。
ブラウザでは、