同一オリジンポリシー (SOP)
同一オリジンポリシー (SOP) とは何ですか?
同一オリジンポリシー (SOP)あるオリジンから読み込まれた文書やスクリプトが、別のオリジンのリソースとどのように相互作用できるかを制限するブラウザのセキュリティ規則。
同一オリジンポリシーは、Web セキュリティの基本となる隔離境界です。スキーム・ホスト・ポートがすべて一致する場合にのみ同一オリジンとみなされ、そうでなければブラウザはスクリプトによるレスポンスの読み取り、クロスオリジンフレームの DOM へのアクセス、他サイトの Cookie の参照を阻止します。SOP により、別タブで開いているネットバンキングセッションの内容を悪意あるページが無断で盗むことを防げます。CORS、postMessage、JSONP などの仕組みで選択的に緩和できますが、設定ミスはクロスオリジンの情報漏洩や認証バイパスの主な原因となります。
● よくある質問
同一オリジンポリシー (SOP) とは何ですか?
あるオリジンから読み込まれた文書やスクリプトが、別のオリジンのリソースとどのように相互作用できるかを制限するブラウザのセキュリティ規則。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
同一オリジンポリシー (SOP) とはどういう意味ですか?
あるオリジンから読み込まれた文書やスクリプトが、別のオリジンのリソースとどのように相互作用できるかを制限するブラウザのセキュリティ規則。
同一オリジンポリシー (SOP) はどのように機能しますか?
同一オリジンポリシーは、Web セキュリティの基本となる隔離境界です。スキーム・ホスト・ポートがすべて一致する場合にのみ同一オリジンとみなされ、そうでなければブラウザはスクリプトによるレスポンスの読み取り、クロスオリジンフレームの DOM へのアクセス、他サイトの Cookie の参照を阻止します。SOP により、別タブで開いているネットバンキングセッションの内容を悪意あるページが無断で盗むことを防げます。CORS、postMessage、JSONP などの仕組みで選択的に緩和できますが、設定ミスはクロスオリジンの情報漏洩や認証バイパスの主な原因となります。
同一オリジンポリシー (SOP) からどのように防御しますか?
同一オリジンポリシー (SOP) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
同一オリジンポリシー (SOP) の別名は何ですか?
一般的な別名: SOP。
● 関連用語
- appsec№ 223
CORS(オリジン間リソース共有)
ブラウザが強制する仕組みで、サーバーが同一オリジンポリシーを選択的に緩め、あるオリジンの JavaScript から別オリジンのレスポンスを読み取れるようにする。
- attacks№ 240
クロスサイトスクリプティング(XSS)
他のユーザーが閲覧するページに悪意あるスクリプトを注入し、当該サイトのオリジンとして被害者のブラウザで実行させる Web 脆弱性。
- attacks№ 239
クロスサイトリクエストフォージェリ(CSRF)
認証済みユーザーのブラウザに、脆弱なサイトへ意図しないリクエストを送らせ、本人の同意なく状態変更操作を実行させる Web 攻撃。
- appsec№ 214
コンテンツセキュリティポリシー (CSP)
スクリプト・スタイル・フレームなどの読み込み元をブラウザに指示する HTTP レスポンスヘッダで、XSS やデータ注入攻撃の影響を抑える。
- appsec№ 516
iframe の sandbox 属性
iframe の内容に追加の制限を課す HTML 属性。明示的に許可しない限り、スクリプト・フォーム・遷移・同一オリジンアクセスをすべて禁止する。
- appsec№ 690
混在コンテンツ
HTTPS で配信されたページがスクリプト・スタイル・画像・XHR などのサブリソースを平文 HTTP で読み込み、ページ全体のセキュリティを低下させる状態。
● 関連項目
- № 911リファラーポリシー (Referrer Policy)
- № 681MIME スニッフィング
- № 224CORS の設定不備
- № 566JSONP の脆弱性
- № 1051サイト分離