TOP

このエントリーをはてなブックマークに追加
同一生成元ポリシー(SOP:Same-Origin Policy)

工事中...
情報処理試験のセキュリティスペシャリスト(現:情報処理安全確保支援士)の平成28年秋 午後Ⅱ問2でも出題されています。
まずWebにおける「オリジン」を理解する必要があります。
オリジン

SOAとCORS
現在のWebブラウザでは、標準で同一生成元ポリシー(SOP:Same-Origin Policy)という情報の悪用の防止策が適用されています。
(詳しくはRFC6454をご覧ください。) セキュリティの観点で生まれた考え方なのですが、Webサービスを提供する際、他のWebサービスを利用できないので利便性を損ねるという側面もあります。
そこで、異なるオリジンのサーバーにある選択されたリソースへのアクセスを許可することができる仕組みとして、オリジン間リソース共有(CORS:Cross-Origin Resource Sharing)が誕生しました。
facebookの「いいね」を設置できるのもCORSのおかげです。
参考サイト
1. Cross-Origin Resource Sharing
2. CORS(Cross-Origin Resource Sharing)
3. 同一生成元ポリシー(Same-Origin Policy)
4. Cross-origin resource sharing
参考書
1. 絶対わかる情報処理安全確保支援士 2017年春版
 ※上記1.の2018年度版はこちら(絶対わかる情報処理安全確保支援士 2018年春版)