Same-Originポリシー
第2回はAjaxに関するセキュリティモデルを紹介します。第1回で紹介した,Ajaxを用いてリクエストを送信するコードをもう一度見てみましょう。
Ajaxを使い通信を行う部分は次のように記述しました。
req.open('GET', 'http://www.example.com/contents.txt');
このURLの部分を,HTMLファイルが置かれているサーバとは別のドメインのURLに書き換えてみます。するとリクエストは送信されなくなったと思います。
これはセキュリティ上の理由から,他のドメインのサイトへはリクエストを送信できないように制限がかけられているためです。この制限のことをSame-Originポリシーと呼びます(他にもSame-Originルール,クロスドメインセキュリティモデルとも呼ばれます)。一方,他のサイトへアクセスすることをクロスドメインアクセスと呼びます。
図1 Same-Originポリシー
Same-Originポリシーの必要性
それではなぜSame-Originポリシーが必要なのかを理解するために,もしSame-Originポリシーを破ってクロスドメインアクセスが行われた場合にどのようなことが起こるかを考えてみます。
ユーザはWebメールを提供しているサイトにログインし,メールを読んでいるとします。
図2 クロスドメインアクセス
ユーザはメールを読んでいる最中に用事を思い出し,www.securesky-tech.comにアクセスしに行きました。…(1)
このときwww.securesky-tech.comのサイトにリスト1のようなスクリプトが書かれていたとします。…(2)
リスト1
<script language="javascript">
var req;
if( window.XMLHttpRequest){
req = new XMLHttpRequest();
}else if(window.ActiveXObject){
try {
req = new ActiveXObject("MSXML2.XMLHTTP");
} catch (e) {
req = new ActiveXObject("Microsoft.XMLHTTP");
}
}
if (req) {
req.open('GET', 'http://mail.example.com/mail/index.html'); // (3)クロスドメインアクセス
req.onreadystatechange = function() {
if (req.readyState == 4) {
sendtoAttacker(req.responseText); // (4)取得した情報を攻撃者のサーバへ送信
}
}
req.send(null);
}
</script>
するとWebメールのサイトにリクエストが送信されます。…(3)
その結果,レスポンスとしてWebメールにログイン後の画面を取得することができます。なぜなら,認証情報を格納しているCookieというデータは,Webメールのサイトにアクセスするたびにブラウザが自動的に送信する仕組みになっているためです。
その後,取得した画面の内容が攻撃者のサイトに送られます。…(4)
このように,もしSame-Originポリシーが存在していなければ,個人情報が盗まれ放題になってしまいます。
実際にはクロスドメインアクセスは禁止されていますので,上記で説明したようなことは起こりません。www.securesky-tech.comとmail.example.comはドメインが異なるので,アクセスできないようになっています。
なお,同じドメインであってもポート番号やプロトコル(HTTPとHTTPSなど)が異なれば,異なるサイトとみなされアクセスできません。また,Same-OriginポリシーはAjax(XMLHttpRequestオブジェクトを使用した通信)にだけ存在するわけではなく,スクリプトを用いてフレームやサブウインドウの情報にアクセスする場合などにも存在しており,Webの世界での基本的なルールとなっています。
