同一オリジンポリシーのイメージをつかむためのサンプル
同一オリジンとなるポイントはURLのスキーム(この例ではhttps)、ホスト(この例ではexample.com)、ポート(この例では80)が一致していること。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
# 比較対象となるURI $uri1 = "https://example.com:80/path/index.html" $uri2 = "https://example.com:80/path/subdir/index.html" # URIオブジェクトに変換 $uriObj1 = New-Object System.Uri($uri1) $uriObj2 = New-Object System.Uri($uri2) Write-Output $uriObj1.Scheme $uriObj2.Scheme Write-Output $uriObj1.Host $uriObj2.Host Write-Output $uriObj1.Port $uriObj2.Port # 同一オリジンのチェック if ($uriObj1.Scheme -eq $uriObj2.Scheme -and ` $uriObj1.Host -eq $uriObj2.Host -and ` $uriObj1.Port -eq $uriObj2.Port) { Write-Output "同一オリジンです" } else { Write-Output "異なるオリジンです" } |
Origin (オリジン)
ウェブコンテンツのオリジン (Origin) は、ウェブコンテンツにアクセスするために使われる URL の スキーム (プロトコル)、 ホスト (ドメイン)、 ポート番号 によって定義されます。スキーム、ホスト、ポート番号がすべて一致した場合のみ、 2 つのオブジェクトは同じオリジンであると言えます。
Origin (オリジン) – MDN Web Docs 用語集: ウェブ関連用語の定義 | MDN (mozilla.org)
同一オリジンポリシー
同一オリジンポリシーは重要なセキュリティの仕組みであり、あるオリジンによって読み込まれた文書やスクリプトが、他のオリジンにあるリソースにアクセスできる方法を制限するものです。
これにより、悪意のある可能性のあるドキュメントを隔離し、起こりうる攻撃のベクターを減らすことができます。例えば、インターネット上の悪意のあるウェブサイトがブラウザー内で JS を実行して、 (ユーザーがサインインしている) サードパーティのウェブメールサービスや (公開 IP アドレスを持たないことで攻撃者の直接アクセスから保護されている) 企業のイントラネットからデータを読み取り、そのデータを攻撃者に中継することを防ぎます。
コメント