同じ起源ポリシーとは何ですか?
Same Origin Policy(SOP)は、インターネット上の特定の種類のブラウザアプリケーション用のセキュリティデバイスです。 インターネットのような大規模ネットワークでコンピューターを使用する場合、小規模の孤立したネットワークで作業する場合と比較して、ハッカーやその他の悪意のあるエンティティから攻撃を受ける可能性が大幅に増加します。 同一生成元ポリシーは、Webサイトで実行されているスクリプトを検証し、ハッカーが不正なパラメーターの下でコンピューターとの接続を確立するのを防ぎます。 スクリプトは、Webサイトが動作するために必要な単なるプログラムまたはアプリケーションです。
Webサイトに接続する場合、接続はコンピューターの「ポート」を介して行われます。 名前はかなり説明的です。 ポートは状況に応じて開いているか閉じており、開いているポートのみが攻撃に対して脆弱です。 Webサイトがコンピューターへの特定のポート接続を要求すると、コンピューターがある程度のリスクにさらされます。 ポートが開いたままである限り、他の個人やプログラムがオンラインで脆弱性を介してコンピューターに「プラグイン」を試みることができます。 他の個人やプログラムもWebサイトを装って、他のポートを開くようにコンピューターに要求することができます。
ここで、同じ発信元ポリシーが介入します。同じ発信元ポリシーは、開かれたポートを要求するWebサイトとコンピューターの間の一定の仮想問い合わせの一種と考えてください。 Webサイトは、それが誰であり、それが何であるかを常に「証明」しなければなりません。 同一生成元ポリシーでは、スクリプトが目的のWebサイトからのものである限り、スクリプトの実行が許可され、SOPによって提示される「質問」が満たされます。
これを検証するために、同じ生成元ポリシーは、ドメイン名、アプリケーション層プロトコル、およびスクリプトを実行しているドキュメントまたはWebサイトの特定のポート番号の3つのことをチェックします。 ドメイン名は、Webサイトの特定の名前です。 通常、接頭辞「www」が前に付きます。 アプリケーション層プロトコルは接続方法です。 たとえば、ハイパーテキスト転送プロトコル(HTTP)またはファイル転送プロトコル(FTP)。 最後に、ポート番号は、接続が行われるポートの特定の番号です。 これら3つのことを確認すると、スクリプトが実行されます。 そうしないと、SOPが動作しなくなります。
コンピューターが関係するものと同様に、SOPは絶対的なものではありません。 Domain Name Server Rebindingやプロキシなどの特定のタイプのハッキング攻撃により、不正なサイトが正当なサイトになりすますことができます。 そのため、SOPはオンラインの脅威に対する1つの防御ラインと見なされるべきです。