Same-Originポリシ

Same-Originポリシ

　Same-Origin Policy（SOP）は、Webブラウザが異なるオリジン（ドメイン、ポート、プロトコル）のWebページ間での情報共有を制限するセキュリティポリシーです。同一生成元（Same-Origin）とは、URLが同じオリジンを持つことを意味します。同一生成元のWebページは、同じオリジン内で実行されるスクリプトにのみアクセスでき、異なるオリジンのWebページにはアクセスできません。

　SOPにより、Webブラウザは、異なるオリジン間での情報共有を制限し、Webアプリケーションのセキュリティを強化します。異なるオリジンのWebページが同じドメイン内のCookieやセッション情報を取得することはできません。このような情報が悪用されると、個人情報の漏洩や不正アクセスなどの問題が発生する可能性があります。

　同一生成元の定義は、URLのスキーム、ホスト名、およびポート番号に基づいています。たとえば、以下のURLはすべて同じ生成元に属します。

• https://example.com/index.html
• https://example.com/about.html
• https://example.com/contact.html

一方、以下のURLはすべて異なる生成元に属します。

• https://example.com/index.html
• https://www.example.com/index.html
• https://example.org/index.html

　SOPは、主にWebブラウザで実装されています。Webサーバー自体のセキュリティには影響しません。Webサーバーは、別のセキュリティメカニズムを使用して、悪意のあるリクエストを検出およびブロックする必要があります。また、Webアプリケーションの開発者は、CORS（Cross-Origin Resource Sharing）と呼ばれるメカニズムを使用して、異なるオリジン間での情報共有を許可することができます。