[109]

Origin: ヘッダーは、当該要求を行う fetch の実行元の起源originを表すものです。

文脈

[50] Webブラウザーの fetch アルゴリズムは、送信するHTTP要求の多くに、 HTTPヘッダー Origin: を付与します。

[51] 要求Originヘッダーの追加append a request `Origin` headerは、 要求について、次のようにします。 >>49

[53] 直列化起源を、 要求について要求起源を直列化した結果に設定します。
[54] 要求のresponse taintingがcorsか、 要求のモード要求モードが websocket の場合、
1. [55] 要求のヘッダーリストに、 Origin/直列化起源を末尾に追加します。
[56] それ以外の場合で、 要求のメソッド要求メソッドが GET でも HEAD でもない場合、
1. [58] 要求の参照元ポリシーにより、
  no-referrer
  直列化起源を、 null に設定します。
  no-referrer-when-downgrade, strict-origin, strict-origin-when-cross-origin
  [59] 要求の起源が項組起源で、 要求の起源のschemeURL schemeが https で、 要求の現在URLのschemeURL schemeが https でない場合、
  [60] 直列化起源を、 null に設定します。
  same-origin
  [61] 要求の起源が要求の現在URLの起源と同じ起源でない場合、
  [62] 直列化起源を、 null に設定します。
2. [57] 要求のヘッダーリストに、 Origin/直列化起源を末尾に追加します。

[297] 互換性の問題からすべての要求には含まれません

>>290

。

[42]

プロキシに接続するための CONNECT には含まれません。

[298] Webブラウザーなど同一起源ポリシーで管理されたクライアントからの要求には Origin: ヘッダーが含まれますが、それ以外の要求には普通は Origin: ヘッダーは含まれません。

[296] 要求メソッドが GET でも HEAD でもない要求や、 WebSocket接続の確立の要求、 CORS を使った他の起源への要求に含まれます >>290。

[308] fetch において、Originヘッダー省略フラグomit-Origin0header flagが未設定の時、 HTTP要求に Origin: ヘッダーが設定されます >>307。

[28] 初期値は未設定です

>>306

。

処理

CSRF 対策

[37] サーバーは、 CSRF 対策のためにこのヘッダーを使うことができます。

[38] Origin: ヘッダーの値がサーバーの想定する起源でなければ、不当な起源からの要求であり、 CSRF 攻撃のおそれがありますから、要求を拒否することとできます。

CORS

[36] サーバーは、 CORS のためにこのヘッダーを使うことができます。

[119] RFC 6454 では鯖による解釈の方法は特に規定されていませんでした。

[214] CORS では別起源への要求に対する鯖 (資源) での処理モデルが規定されており、その中で Origin: の処理方法も規定されています。 Origin: に関する部分だけを抜き出すと、次の通りです。

[215] Origin: 欄がなければ、 CORS 処理モデルの適用範囲外です。 >>213
[216] Origin: 欄の値は、
- [218] cross-origin request/actual request では U+0020 SPACE で分割し、得られたそれぞれの値が大文字・小文字不区別で想定している起源と一致するかを判定します。 >>213
- [220] preflight request では値を直接大文字・小文字不区別で想定している起源と一致するかを判定します。 (preflight request はリダイレクトに対応していないので、常に値が1つと想定しています。) >>213, >>221
- [219] なお、ここでいう想定している起源は有限のリストである必要はありません。
[217] 応答の Access-Control-Allow-Origin: 欄には Origin: 欄の値をそのまま使うことができます。 >>213

DNS による攻撃

[210] 鯖側では Origin: が要求元として適切な起源かどうかチェックすることになりますが、 Host: をチェックしておかないと攻撃者が不正なドメイン名を当該鯖に結びつけることで意図せぬ要求を受理させることができるとされています。

[211] 例えば corp.example と corp.invalid があるとします。 corp.example が corp.example に cross-origin request を行い、 Origin: corp.example と送ります。この時 corp.invalid またはネットワークが不正にこの要求を corp.example に送りつけさせることができます。すると corp.example は自身からの要求を (意図せず) 受け取ることになります。 corp.example 側で Host: をチェックすれば、利用者エージェントが本当は corp.invalid に宛てて送ろうとしていたことを認識でき、不適切な要求として処理できます。 (cross-origin request には HTTPS のような安全な接続を使うとより安全になります。) >>212 4.

歴史

[22] 例によって W3C や IETF で政治的なごたごたに巻き込まれて必要以上に長くかかっています。 RFC になるよりずっと先に Webブラウザーで実装が進みました。

[1] Cross-Site Request Forgery (2008-07-11 00:28:05 +09:00 版) http://crypto.stanford.edu/websec/csrf/

[2] Origin Header for CSRF Mitigation (2008-11-30 15:01:02 +09:00 版) http://crypto.stanford.edu/websec/specs/origin-header/

[3] HTML5 のナビゲーションの算法に組み込まれたみたいです。。。

[4] (X)HTML5 Tracking (2009-01-15 07:15:24 +09:00 版) http://html5.org/tools/web-apps-tracker?from=2668&to=2669

[5] ACTION-96: Origin removal (Henri Sivonen 著, 2009-01-19 08:33:27 +09:00 版) http://lists.w3.org/Archives/Public/public-html/2009Jan/0210.html

IETF

[6] draft-abarth-origin-00 - The HTTP Origin Header (2009-01-22 10:33:27 +09:00 版) http://tools.ietf.org/html/draft-abarth-origin-00

[7] (X)HTML5 Tracking (2009-09-29 23:36:58 +09:00 版) http://html5.org/tools/web-apps-tracker?from=4010&to=4011

[8] IRC logs: freenode / #whatwg / 20090821 (2009-10-12 19:18:16 +09:00 版) http://krijnhoetmer.nl/irc-logs/whatwg/20090821#l-235

[9] Security/Origin - MozillaWiki (2009-10-09 22:03:56 +09:00 版) https://wiki.mozilla.org/Security/Origin

[20] The HTTP Sec-From Header draft-abarth-origin-01 の頃は Sec-From: という名前が提案されていました。

[10] IRC logs: freenode / #whatwg / 20090929 (2009-12-02 08:29:55 +09:00 版) http://krijnhoetmer.nl/irc-logs/whatwg/20090929

[11] IRC logs: freenode / #whatwg / 20091002 (2009-12-04 00:35:25 +09:00 版) http://krijnhoetmer.nl/irc-logs/whatwg/20091002#l-620

[12] IRC logs: freenode / #whatwg / 20091204 (2009-12-27 16:46:13 +09:00 版) http://krijnhoetmer.nl/irc-logs/whatwg/20091204#l-293

[13] Security/Origin - MozillaWiki (2010-10-06 06:03:55 +09:00 版) https://wiki.mozilla.org/Security/Origin

[14] IRC logs: freenode / #whatwg / 20101109 ( (2010-11-18 23:22:34 +09:00 版)) http://krijnhoetmer.nl/irc-logs/whatwg/20101109#l-206

[15] drafts/origin.xml at master from abarth's ietf-websec - GitHub ( (2011-02-13 13:01:41 +09:00 版)) https://github.com/abarth/ietf-websec/blob/master/drafts/origin.xml

[16] IRC logs: freenode / #whatwg / 20110815 ( (2011-08-27 15:22:54 +09:00 版)) http://krijnhoetmer.nl/irc-logs/whatwg/20110815#l-134

[17] IRC logs: freenode / #whatwg / 20111022 ( (2011-10-23 18:08:47 +09:00 版)) http://krijnhoetmer.nl/irc-logs/whatwg/20111022

[21] RFC 6454 - The Web Origin Concept (2011-12-12 09:13:37 +09:00 版) http://tools.ietf.org/html/rfc6454#section-7

[107] Origin: 欄の構文は次のように定義されていました >>21。

   origin              = "Origin:" OWS origin-list-or-null OWS
   origin-list-or-null = %x6E %x75 %x6C %x6C / origin-list
   origin-list         = serialized-origin *( SP serialized-origin )
   serialized-origin   = scheme "://" host [ ":" port ]
                       ; <scheme>, <host>, <port> from RFC 3986

[108] RFC 6454 は、 SP 区切りのリストで複数の値を指定できるとしていました >>21。

[110] 要求がなされるまでに複数の起源が関わっている場合、それをすべて列挙して構わない >>21 とされていました。

[111] 例えばリダイレクトが発生した時、大元の起源とリダイレクトを行った起源を列挙して構いません。

[112] しかし列挙の順序や鯖による解釈の方法については特に規定されていませんでした。

[118] 隣接する起源が同じidenticalであってはなりません。そうなってしまう場合は片方だけ送信しなければなりません。 >>21

[191] fetch (>>126) の定義においてはリダイレクトの際に複数の値を Origin: を入れることは認められていません。ただし明示的に禁じられているわけではなく、自然に読むと複数にはならないというだけなので、実際には禁止する意図は無いかもしれません。

[222] CORS (>>213) でも鯖側の処理モデルにおいて、リダイレクトの時に複数の値が指定され得ることに言及はされているのですが、利用者エージェント側の処理モデル上はそうなる場合が記述されていません。

[126] fetch 操作においては、起源が呼び出し元により明示された場合、それを Origin: に使います。そうでない場合は「プライバシー重視」な文脈として扱います。 >>125

[190] HTML や XHR の仕様上定義されたあらゆる HTTP 要求は fetch 操作経由で発行されるので、従ってこれを実装しているWebブラウザーからのあらゆる HTTP 要求は何らかの Origin: 欄を送出し得ることになります。しかしよく読むといつ Origin: 欄を送出するべきかは RFC も HTML も XHR も規定していません。明示的な起源の指定無しに fetch が呼び出された時は null を送信しなければならない (>>126 + >>116) ということになっていますが、これも無条件に送信することを強制する意図があるのかは怪しいです。

[193] 実際の Webブラウザーはフォームの提出や XHR などで Origin: を送出しますが、通常の文書の navigation などでは送出しないものもあります。

[18] Web Applications 1.0 r6941 Drop old origin definitions that no longer matter. ( (2012-01-31 09:48:00 +09:00 版)) http://html5.org/tools/web-apps-tracker?from=6940&to=6941

[19] Widget Access Request Policy ( (2012-02-04 04:00:27 +09:00 版)) http://dev.w3.org/2006/waf/widgets-access/#dfn-origin

[192] Origin Header Proposal ( (2011-12-28 22:11:55 +09:00 版)) http://people.mozilla.org/~bsterne/content-security-policy/origin-header-proposal.html

[194] 446344 – Implement Origin header CSRF mitigation ( (2012-02-29 23:10:51 +09:00 版)) https://bugzilla.mozilla.org/show_bug.cgi?id=446344

[197] Chromium Blog: Security in Depth: New Security Features ( (2012-02-29 23:04:56 +09:00 版)) http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html

[198] Scheme/Host/Port: RFC 6454 and RFC 6455 ( (2012-02-16 12:42:54 +09:00 版)) http://www.schemehostport.com/2011/12/rfc-6454-and-rfc-6465.html

[199] javascript - Force Safari to include Origin header in jQuery GET request - Stack Overflow ( (2012-02-29 23:34:42 +09:00 版)) http://stackoverflow.com/questions/6417219/force-safari-to-include-origin-header-in-jquery-get-request

[204] AJAX - Introducing Cross-domain Request (XDR) ( (2012-02-29 23:41:40 +09:00 版)) http://msdn.microsoft.com/en-us/library/ie/dd573303(v=vs.85).aspx

[295] CORS における Origin: ヘッダーの利用については、 CORS 仕様書に規定がありました。

[213] Cross-Origin Resource Sharing (2012-03-03 09:26:46 +09:00 版) http://dvcs.w3.org/hg/cors/raw-file/tip/Overview.html#resource-processing-model
[221] Cross-Origin Resource Sharing (2012-03-03 09:39:38 +09:00 版) http://dvcs.w3.org/hg/cors/raw-file/tip/Overview.html#resource-sharing-check-0
[212] Cross-Origin Resource Sharing (2012-03-03 07:13:53 +09:00 版) http://dvcs.w3.org/hg/cors/raw-file/tip/Overview.html#security

[303] 著者が直接 Origin: を指定することは、 XHR で禁じられていました >>123。

[304] 現在では Fetch Standard で禁じられています

>>302

。

[123] XMLHttpRequest (2012-02-28 13:24:26 +09:00 版) http://dvcs.w3.org/hg/xhr/raw-file/tip/Overview.html#dom-xmlhttprequest-setrequestheader

WHATWG

[291] IETF の RFC 6454 の Origin: の定義は実際の Webブラウザーの実装と異なっていましたが、 IETF では手続き上改訂が難しい状況でした。

[292] Anne は、 WHATWG Fetch Standard において RFC 6454 を参照しつつもより正確な定義を含めました >>290。

[293] 2014年6月には URL Standard に URL の起源が追加され、 HTML Standard、URL Standard、Fetch Standard の3つの文書によって事実上 RFC 6454 は廃止されました >>310, >>311。

[311] Define URL's origin · c65766a · whatwg/url (2014-07-01 04:50:13 +09:00 版) https://github.com/whatwg/url/commit/c65766a674c6f4c3c521b6dc843f07c1fd23b4d2
[310] Fix origin xref mess; obsolete ORIGIN · d94f125 · whatwg/fetch (2014-07-01 04:49:04 +09:00 版) https://github.com/whatwg/fetch/commit/d94f125e97592c078e023d5490b65b4210ebe8dc

[294] 詳しくは起源の歴史の項を参照してください。

仕様書

構文

`null`

空文字列

文脈

処理

CSRF 対策

CORS

DNS による攻撃

歴史

IETF

WHATWG

実装

関連