Same Origin Policy
他のドメインのサイトに勝手にリクエストできないようにする仕組み
例えばXHRはリソースを取得したサーバとしか通信できない https://gyazo.com/fbe879c99b3729859649075783ffd732
https://youtu.be/ryztmcFf01Y
前半にSame Origin Policyの説明がある
現代では異なるOriginへのリクエストはサービス側もよくやる
この制約をうけないもの
Formのaction
The same origin policy is applicable only for browser side programming languages. So if you try to post to a different server than the origin server using JavaScript, then the same origin policy comes into play but if you post directly from the form i.e. the action points to a different server like:
第2章 Origin を境界とした基本的な機構
2.1 Webリソース間の論理的な隔離にむけて
2.2 OriginとSame-Origin Policy(SOP) 2.3 CORS(Cross-Origin Resource Sharing)
2.5 SOPの天敵、XSS(Cross-Site Scripting) 2.6 CSP(Content Security Policy)
2.7 Trusted Types
2.8 まとめ