Same Origin Policy
略称SOP
他のドメインのサイトに勝手にリクエストできないようにする仕組み
例えばXHRはリソースを取得したサーバとしか通信できない
https://gyazo.com/fbe879c99b3729859649075783ffd732
browserによって異なるOriginへのリクエストがブロックされる
https://youtu.be/ryztmcFf01Y
前半にSame Origin Policyの説明がある
Same Origin Policyで安全になったが、普通にはCross origin requestができなくなってしまった
現代では異なるOriginへのリクエストはサービス側もよくやる
この制約をうけないもの
Formのaction
The same origin policy is applicable only for browser side programming languages. So if you try to post to a different server than the origin server using JavaScript, then the same origin policy comes into play but if you post directly from the form i.e. the action points to a different server like:
html - Cross Domain Form POSTing - Stack Overflow
Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する(電子書籍のみ) – 技術書出版と販売のラムダノート
第2章 Origin を境界とした基本的な機構
2.1 Webリソース間の論理的な隔離にむけて
2.2 OriginとSame-Origin Policy(SOP)
2.3 CORS(Cross-Origin Resource Sharing)
2.4 CORSを用いないSOPの緩和方法
2.5 SOPの天敵、XSS(Cross-Site Scripting)
2.6 CSP(Content Security Policy)
2.7 Trusted Types
2.8 まとめ