Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する
読むの2週目だけど改めて読む
Webブラウザにはリソース間の隔離をいかに達成するかという関心事がある
論理的な隔離
Webのリソース間に境界を設けてアクセスを制限する
プロセスレベルの隔離
低レベルローカルなコンピュータ上に読み込まれたリソース間に何らかの境界を設けてお互いに及ぼさないようにする
単純なリクエスト
普通にfetchしてきてDOMを呼び出す(中身を表示する)
複雑なリクエスト➔これについてはしっかり考えなければならない
aタグやformタグで遷移によってfetchする場合
リソースの埋め込み
iframeやimg
スキームとホスト名、ポート番号という3つの値の組のこと
ただしドメインまで含んだ考え方もあり厳密には3つの組とは言い切れない
ここまで比較すれば一般的には強度を持った基準となる
SOPでは同じドメインであれば制約しないとなっているが、言い換えれば何も制約を与えないということになるので同じドメイン内で何らかの悪意のあるJavaScriptが実行される可能性もある(XSS) WYSIWYGのようなもので文字の装飾をしながら記事などを書く場合HTMLタグなどを埋めこむ このときJSも一緒に。。
WebブラウザがWebページ中の制約に反した挙動を検知してブロックできる仕組み