鳩丸ぐろっさり (用語集)

Webページで動作するプログラム等が、同じドメイン上のデータしか読み込めないという制限。「同一生成源ポリシー」とも呼ばれます。

Web ページで動作するスクリプトが任意のサーバの任意のデータにアクセスできると、IPアドレスによるアクセス制限のかかったコンテンツや、イントラネット上のデータ等にもアクセスできてしまうことになります。たとえば、悪意あるサイトは、http://127.0.0.1/ にアクセスして内容を読み出して行くようなスクリプトを用意しているかもしれません。

このようなスクリプトがすんなり動作してしまっては困ります。そのため、原則として、スクリプトからデータにアクセスする際は、同一ドメイン上のデータしか読み込めないようになっています。このようにすることで、悪意あるサイトの罠スクリプトは、悪意あるサイト自身に置かれたデータしか読めなくなります。

なお、script要素によるスクリプトの読み込み自体は、このポリシーに縛られないので注意が必要です。script要素の src属性に別ドメインの URL を指定すると、普通に読みに行って呼び出し元のドメイン上で動作します。このため、機微情報を .js ファイルに出力すると、その JS ファイルが悪意あるサイトから読み込まれ、悪意あるサイト上のスクリプトとして実行され、情報を読み取られてしまう可能性があります。