[4]

同一起源ポリシーsame origin policyは、 Web において、スクリプトが異なる起源 (URL scheme、ホスト、ポートの組など) に由来する物体に対してアクセスすることを制限するセキュリティーに関する大原則です。

同一起源ポリシーの原理

[56] Webアプリケーションは、鯖が提供したスクリプト等を Webブラウザー上の環境において実行、評価するものですが、適切なセキュリティー・モデルが無ければ利用者やその他の人が意図しない有害な動作がなされてしまうかもしれません。同一起源方針は Webブラウザー上で動作するWebアプリケーションのためのセキュリティー・モデルとして発展、収束してきたものです。 RFC 6454 で Adam Barth は次の基本原理をまとめています。

Trust
Origin
Authority
Policy

Trust

[57] 同一起源方針においては URL によって trust を指定していると言えます。

[58] 例えば script 要素によって URL を指定して外部のスクリプトを読み込むことは、自身の持つ特権を当該 URL に対して付与していることになります。つまり当該 URL から得られる情報の一貫性を信頼 (trust) すると宣言していると言えます。

[59] また form 要素によって POST 先の URL を指定することは、秘密のデータを当該 URL に対して開示することになります。つまり当該 URL に送られるデータの秘匿性を信頼 (trust) すると宣言していると言えます。

Origin

[60] あらゆる URL にそれぞれ個別の保護された領域を与えることもできますが、それでは実用上不便なので、同一起源方針にあってはドメインなどが共通する URL 群を起源 (origin) と呼び、これを保護の単位とします。

[61] 例えば http://example.com/ と http://example.com/~mypage/ は http://example.com という共通の起源を持ちます。しかし http://www.example.com/ や http://example.com:8080/ の起源はそれぞれ http://www.example.com や http://example.com:8080 であり、異なります。

Authority

[62] 起源が同じであっても、資源はそれぞれの権限 (authority) を持っています。どれだけの権限を与えるかは MIME型により決まります。

[63] 例えば image/png の資源は画像であり、 API その他へのアクセス権を有しません。一方 text/html の資源は HTML文書であり、スクリプトの実行その他の様々な権限を有します。

Policy

[64] 同一起源方針においては起源はそれぞれ別に管理されており、他の起源との通信は制限されています。他の起源のAPIアクセスは原則として禁止されていますし、他の起源の資源を読み取ることもできません。他の起源に情報を送ることは認められていますが、一部の決められた形式に制限されています。

[65] 例えば DOM の API によって他の起源の文書にアクセスすることはできません。 postMessage など例外はありますが、それ以外は Webブラウザーにより厳密に管理されています。

[66] XHR によって他の起源の資源を読み取ることは、 CORS により例外的に認められていない限り、禁止されています。

同一起源ポリシーが保護しないもの

[18] 一見セキュリティーに関わりそうな次の要素は、起源の定義には含まれていませんから、同一起源ポリシーの保護対象外です。

[148] ドメイン名と IPアドレスの関係
[149] サーバー証明書
[150] credentials の有無

[151] 著者は、必要なら対策を講じる必要があります。

[152] 例えば同じ起源の一部のページは認証不要で公開されており、他のページはHTTP認証により保護されているとします。まず保護されたページに認証つきでアクセスし、 localStorage に何らかのデータを保存します。次に認証不要なページに認証つきでアクセスし、 localStorage を参照すると、前に保存したデータが得られます。なぜなら、 localStorage は起源単位のストレージであり、認証の有無は起源の違いとならないからです。

[153] これが問題となるかどうかは、アプリケーションの性質に依存します。問題となるのであれば、 (Webブラウザーのセキュリティーホールではなくアプリケーション設計の問題なので) 著者が対策を検討しなければなりません。

適用対象

[9] いくつかの挙動はそれが同じ起源に対して行われた操作に由来するか否かによって変化します。一般に他の起源の状態や処理結果は取得できません。

このリストは不完全です。

[20] window や location のメンバー (一部例外を除きます。) に対するスクリプトからのアクセス HTML 5
- [26] ただし、Webブラウザによっては、 HTML 5 で例外とされているメンバー以外にも異なる起源のスクリプトからアクセスできてしまいます。 (例えば Gecko では name や status にアクセスできます。 name の項を参照。)
- [84] Window: HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#security-2
- [86] Location: HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#security-3
- [82] frameElement: HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#dom-frameelement
- [127] contentDocument: HTML Standard (2013-11-12 21:53:09 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#dom-iframe-contentdocument HTML Standard (2013-11-12 21:53:09 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#dom-object-contentdocument HTML Standard (2013-11-12 21:53:09 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#dom-frame-contentdocument
- [128] getSVGDocument
- [83] navigation: HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#allowed-to-navigate
[23] CSSOM へのアクセス仕様なし
[33] 外部資源へのアクセス
- [21] XMLHttpRequest による外部資源へのアクセス XMLHttpRequest, XMLHttpRequest 2
- [22] WebSocket接続の確立 HTML 5
- [31] document.load
- [34] XSLT document() 関数による別起源の資源へのアクセス仕様なし
[37] mozIsLocallyAvailable
[43] SOAP
- https://developer.mozilla.org/ja/SOAP_in_Gecko-based_Browsers
[73] onerror
- エラーミュートフラグ
- [95] [Window: HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#runtime-script-errors
- [96] iframe: HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#the-iframe-element
- navigation: HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#navigating-across-documents
[74] seamless
- HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#attr-iframe-seamless
[77] canvas の起源汚染
- HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#security-with-canvas-elements
[75] Web Fonts の利用
- [76] measureText HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#dom-context-2d-measuretext
[78] autofocus HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#attr-fe-autofocus
[80] ping 属性で指定された URL に対して Ping-From: ヘッダーを送信するかどうか
[81] 奇癖モードにおける Content-Typeメタデータの扱い HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#link-type-stylesheet
[85] pushState/replaceState
- 文書の起源と文書の番地の起源と指定された URL の起源が同じでなければなりません。
[87] AppCache
- [88] HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#navigating-across-documents
- [93] HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#concept-appcache-matches-fallback
- [94] HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#changesToNetworkingModel
[89] HTTP redirect
- [90] HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#navigating-across-documents
[97] javascript: URL: HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#javascript-protocol
[98] dialog: HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#dom-showmodaldialog
[99] registerProtocolHandler, registerContentHandler: HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#custom-handlers
[100] IsSearchProviderInstalled: HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#dom-external-issearchproviderinstalled
[101] new Worker
[140] new SharedWorker
[106] sessionStorage: HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#the-sessionstorage-attribute
[107] localStorage: HTML Standard (2012-02-22 20:11:59 +09:00 版) http://www.whatwg.org/specs/web-apps/current-work/#the-localstorage-attribute
[108] unload 中の navigation
- Gecko と Opera では same-origin policy の対象になります。 WebKit ではまったく認められていません。
[109] PerformanceTiming から値を取得できるか否か
- Navigation Timing (2012-12-13 06:51:35 +09:00 版) http://www.w3.org/TR/2012/REC-navigation-timing-20121217/#sec-navigation-timing-interface
[114] error イベントが発火するかどうか HTML
[144] 祖先閲覧文脈等の制約が入れ子閲覧文脈等に伝播するもの:
- sandbox
- Upgrade-Insecure-Requests:

[129] Widget の preferences にも同一起源ポリシーが適用されます。

適用対象外

[10] 次の機能を使うと、同一起源ポリシーは適用されず、他の起源のデータに (ある程度) アクセスできます。

src 属性、 object 要素、 embed 要素、 link 要素などによる外部資源の埋め込み
- img 要素や iframe 要素など
- script 要素による外部スクリプトの参照も含みます。 JSONP などで同一起源方針を擦り抜けるテクニックとしてよく利用されています。
- これらの要素や属性を使うと、本来スクリプトから取得できないべきである、異なる起源の情報を取得することができてしまいます。前述のスクリプト実行だけでなく、例えば、画像の大きさを取得することで、その内容を推測できてしまうかもしれません。
- 外部スタイル・シートについては、非同一起源でも読み込まれて文書に適用されますが、スクリプトによる CSSOM の参照に関しては同一起源方針の適用対象になります (ただし各ブラウザとも動作が怪しい)。
- delay the load event
画像系 CSS 特性による外部画像の埋め込み
@import による外部 CSS スタイル・シートの輸入
[25] postMessage メソッドを使うと、異なる起源の Web頁に対してメッセージを伝達できます。
[32] marginwidth などフレーム内の余白を設定する属性を使うと、フレーム集合文書とは異なる起源のフレーム内文書の余白を設定できます。
- フレームは CSS によるレンダリング・モデル以前に実装された歴史的経緯によります。
[38] window.name
[39] marginheight, marginwidth
[102] EventSource
[103] WebSocket: 異なる起源でも接続できます。実際に WebSocket接続を確立することを認めるかどうかは、WebSocketサーバーが判断できます。
砂箱化の実装
allowfullscreen/allowusermedia
history.index / history.length
環境符号化

-moz-binding 特性による外部 XBL 1.0 文書の読み込み
Webフォント
- 一部ブラウザ実装。今後の動向次第で変更される可能性あり。

[138] ここに挙げたものの他、起源とは異なるものを適用対象の範囲とする機能もいくつかあります。詳しくは起源の「起源と適用範囲が異なる機能」の項を参照。

歴史

[6] 同一起源方針は、 Netscape Navigator 2.0 で JavaScript と共に導入され >>1、>>2、2.01 および 2.02 で不具合の修正がなされました >>1。

[7] Internet Explorer をはじめとする他ブラウザも同様にこの制限を実装しましたが、 ECMAScript 仕様や DOM 仕様としての標準化の対象外とされ、長らく明文化された規定が存在していませんでした。

[165] 暗黙の標準だった時期の同一起源ポリシーは、実装ごとに細かな違いがありました。例えばポートを起源の区別に寄与させるかどうかは、現在の document.domain やクッキーの適用範囲にも影響を残しています。 Internet Explorer のセキュリティーゾーンのように、同一起源ポリシーの原則から外れた機能も存在していました。

[172] Cross-Frame Scripting and Security, InetSDK, 2024-08-17T06:31:27.000Z, 2000-11-18T04:05:07.913Z https://web.archive.org/web/20001118034900/http://msdn.microsoft.com/workshop/Author/om/xframe_scripting_security.asp

[8] HTML DOM に関係する部分はようやく2005年頃に WHATWG によって HTML 5 仕様の一部として仕様の明文化が行われ始めました。また、 XMLHttpRequest に関しては HTML 5 仕様を参照する形で規定されています。

[126] Document は、当初はオブジェクトそのものは取得できるものの、そのメンバーは一切読み書きできないとなっていましたが、 contentDocument などが異なる起源の場合 null を返すよう変更され、異なる起源の Document オブジェクトにアクセスすること自体ができなくなりました。

[5] RFC 6454 - The Web Origin Concept (2011-12-12 09:13:37 +09:00 版) http://tools.ietf.org/html/rfc6454

[24] 起源に関する基本的な規定は RFC 6454 となりましたが、2014年に HTML Standard、URL Standard、Fetch Standard により廃止されています。

起源を参照。

[124] Web Applications 1.0 r8272 Change iframe, frame, and object.contentDocument to return null when cross-origin documents are involved. (2013-11-13 06:50:00 +09:00 版) http://html5.org/tools/web-apps-tracker?from=8271&to=8272
[125] Web Applications 1.0 r8273 Remove security checks on Document since there should now be no way to get to a Document from another origin. (2013-11-13 06:53:00 +09:00 版) http://html5.org/tools/web-apps-tracker?from=8272&to=8273

[2] JavaScript Security: Same Origin (2008-06-18 04:13:16 +09:00 版) http://www.mozilla.org/projects/security/components/same-origin.html

[1] Same origin policy - Wikipedia, the free encyclopedia (2008-07-02 01:06:45 +09:00 版) http://en.wikipedia.org/wiki/Same_origin_policy

[35] Same origin policy for JavaScript - MDC (2009-02-17 13:34:30 +09:00 版) https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript

[36] The Multi-Principal OS Construction of the Gazelle Web Browser - Microsoft Research (2009-03-07 00:35:15 +09:00 版) http://research.microsoft.com/apps/pubs/default.aspx?id=79655

Webブラウザーのプロセスを起源毎に分離することによって保安性の向上を図る論文だそうです。

[40] (X)HTML5 Tracking (2009-09-30 00:11:40 +09:00 版) http://html5.org/tools/web-apps-tracker?from=4041&to=4042

[41] IRC logs: freenode / #whatwg / 20100223 (2010-02-25 09:03:01 +09:00 版) http://krijnhoetmer.nl/irc-logs/whatwg/20100223

[42] [whatwg] Canvas 2D Context Proposal: resetOriginClean (2010-04-25 01:54:34 +09:00 版) http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2010-April/026006.html

[45] Guidelines for Web Content Transformation Proxies 1.0 ( (2010-10-22 17:20:31 +09:00 版)) http://www.w3.org/TR/2010/NOTE-ct-guidelines-20101026/#term-same-origin

[46] Web Applications 1.0 r5873 Make sure cross-origin fonts can't leak data via <canvas>. ( (2011-02-11 10:48:00 +09:00 版)) http://html5.org/tools/web-apps-tracker?from=5872&to=5873

[47] Embedder's Guide - V8 JavaScript Engine - Google Code ( (2010-11-13 19:00:12 +09:00 版)) http://code.google.com/intl/ja/apis/v8/embed.html

[48] draft-abarth-principles-of-origin-00 - Principles of the Same-Origin Policy (2011-02-22 08:21:31 +09:00 版) http://tools.ietf.org/html/draft-abarth-principles-of-origin-00

[49] Thoughts on font linking and embedding ( (Maciej Stachowiak 著, 2011-02-17 04:28:23 +09:00 版)) http://lists.w3.org/Archives/Public/public-webfonts-wg/2011Feb/0066.html

[50] Thoughts on font linking and embedding ( (Maciej Stachowiak 著, 2011-02-17 04:28:23 +09:00 版)) http://lists.w3.org/Archives/Public/public-webfonts-wg/2011Feb/0066.html

[51] [whatwg] Canvas and drawWindow (2011-03-15 13:03:35 +09:00 版) http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2011-March/030862.html

[52] IRC logs: freenode / #whatwg / 20110202 ( (2011-03-19 11:10:11 +09:00 版)) http://krijnhoetmer.nl/irc-logs/whatwg/20110202

[53] IRC logs: freenode / #whatwg / 20110214 ( (2011-03-23 00:25:04 +09:00 版)) http://krijnhoetmer.nl/irc-logs/whatwg/20110214

[54] クロスドメイン通信方法のまとめ - nopnopの日記 ( (2011-04-24 11:59:01 +09:00 版)) http://d.hatena.ne.jp/nopnop/20080408/1207669947

[110] [whatwg] Need to define same-origin policy for WebIDL operations/getters/setters ( (2013-01-08 08:41:09 +09:00 版)) http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2013-January/038529.html

[117] Web Applications 1.0 r7975 Make showModalDialog()'s dialogArguments and returnValue only be useful same-origin, to avoid origins attacking each other ( (2013-06-15 03:12:00 +09:00 版)) http://html5.org/tools/web-apps-tracker?from=7974&to=7975

[118] Web Applications 1.0 r7975 Make showModalDialog()'s dialogArguments and returnValue only be useful same-origin, to avoid origins attacking each other ( (2013-06-15 03:12:00 +09:00 版)) http://html5.org/tools/web-apps-tracker?from=7974&to=7975

[119] [whatwg] Adding crossorigin="" to more elements ( (2013-06-17 19:04:22 +09:00 版)) http://lists.whatwg.org/pipermail/whatwg-whatwg.org/2013-June/039752.html

[120] Web Applications 1.0 r7997 Block enumeration of cross-origin objects, and clean up the language around those objects to be more consistent so that differences can more easily be seen. ( (2013-06-25 05:28:00 +09:00 版)) http://html5.org/tools/web-apps-tracker?from=7996&to=7997

[121] Web Applications 1.0 r8090 Remove the weird stuff around document.domain and localStorage. It doesn't really do anything anyway. ( (2013-07-26 09:13:00 +09:00 版)) http://html5.org/tools/web-apps-tracker?from=8089&to=8090

[122] Web Applications 1.0 r8196 Add warning notes to the Security sections of Location and Window since they are in flux with no end in sight. ( (2013-09-24 06:42:00 +09:00 版)) http://html5.org/tools/web-apps-tracker?from=8195&to=8196

[123] IRC logs: freenode / #whatwg / 20130925 ( (2013-09-26 20:51:11 +09:00 版)) http://krijnhoetmer.nl/irc-logs/whatwg/20130925

[130] Web Applications 1.0 r8713 getSVGDocument() ( (2014-08-07 03:26:00 +09:00 版)) http://html5.org/r/8713

[72] Same-origin policy - Web security | MDN ( (2015-01-15 06:35:29 +09:00 版)) https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

[131] 524223 – (CVE-2010-0654) Cross-domain data theft using CSS (2015-02-24 12:35:55 +09:00 版) https://bugzilla.mozilla.org/show_bug.cgi?id=524223

[132] Same-origin policy — Anne’s Blog (2015-03-21 15:12:46 +09:00 版) https://annevankesteren.nl/2015/02/same-origin-policy

[133] Part2 - browsersec - Browser Security Handbook, part 2 - Browser Security Handbook - Google Project Hosting (2015-03-31 16:36:25 +09:00 版) https://code.google.com/p/browsersec/wiki/Part2

[134]

From the Aether to the Ethernet – Attacking the Internet using Broadcast Digital Television | the morning paper (2015-04-28 14:29:31 +09:00 版) http://blog.acolyer.org/2015/04/23/from-the-aether-to-the-ethernet-attacking-the-internet-using-broadcast-digital-television/

What’s the origin if you provide content over the broadcast transport though?
The HbbTV specification suggests that in this case the broadcast stream should explicitly define its own web origin by setting the simple_application_boundary_descriptor property in the AIT to any desired domain name.
Yes, you can be anyone you want to be.

[135] HbbTV and Web origins (Mark Nottingham 著, 2015-04-27 11:22:58 +09:00 版) https://lists.w3.org/Archives/Public/www-tag/2015Apr/0052.html

[91] Abusing HTTP status codes to deanonymize web users (Ahmed Elsobky 著, 2015-05-08 05:50:55 +09:00 版) https://lists.w3.org/Archives/Public/public-webappsec/2015May/0043.html

[92] Re: Abusing HTTP status codes to deanonymize web users (Anne van Kesteren 著, 2015-05-09 02:20:54 +09:00 版) https://lists.w3.org/Archives/Public/public-webappsec/2015May/0047.html

[71] Widget Interface (2015-01-27 11:24:04 +09:00 版) http://w3c.github.io/packaged-webapps/api/Overview.html#preference-origin-security-check

[141]

Introduction to DHTML Behaviors (2015-07-23 18:15:21 +09:00 版) https://msdn.microsoft.com/ja-jp/library/ms531079(v=vs.85).aspx

Behaviors are subject to the About Cross-Frame Scripting and Security rules of Internet Explorer. In other words, a Web page that refers to a behavior located on another server in another domain results in an "access denied" error in the page's onerror event handler. In the same way, a Web page that refers to a behavior of a different security protocol than the referring page will result in the same error. For example, a Web page on http://server1/page.htm might not refer to a behavior on https://server1/hilite.htc.

[142]

ja:midori:faq [Xfce Wiki] (2015-07-25 11:27:03 +09:00 版) https://wiki.xfce.org/ja/midori/faq

同一生成元ポリシー (Same Origin Policy) を無効に出来ますか? Midori の設定にない Webkit の設定変更はできませんか?
Midori の設定ファイル (Unix の場合は ~/.config/midori/config、Windows の場合は %APPDATA%\midori\config) で WebKitWebSettings のすべての値を変更できます。例えば、ローカルファイルで同一生成元ポリシーを無効にする場合、以下を追加してください:
enable-universal-access-from-file-uris=true

[143]

Mozilla XForms Specials - Archive of obsolete content | MDN (2014-04-15 00:00:08 +09:00 版) https://developer.mozilla.org/en-US/docs/Archive/Web/XForms/Mozilla_XForms_Specials

Not exactly either a limitation, or an extension, but it is worth mentioning here. For security reasons, it is not per default possible for an XForms to submit data to another domain. This is due to security reasons. Information about how to whitelist domain can be found in the Release Notes
The cross domain check also includes forms loaded from file://. Forms loaded from that URL should be local files, and thus trusted, but it is not always the case. So there is not automatic "whitelisting" of local files.

[145] Merge pull request #44 from yoavweiss/timing_allow_same_origin_pass · w3c/resource-timing@960a8cb (2015-10-27 13:00:25 +09:00 版) https://github.com/w3c/resource-timing/commit/960a8cbd77d640a5ac981ba9c77208aee6bb84e0

[146] Add some more parameters to the "perform a security check" hook (for … · heycam/webidl@adf3772 (2016-01-14 15:20:08 +09:00 版) https://github.com/heycam/webidl/commit/adf37720bd92138f9f1627a214330287550c0004

[147] Merge pull request #65 from andrey-logvinov/gh-pages ( (andrey-logvinov著, 2016-06-17 20:51:59 +09:00)) https://github.com/w3c/wake-lock/commit/7a019503df2a917ca28f3655bcfd953f243703ca

[154] Cross-origin objects: do not wrap JavaScript functions ( (annevk著, 2016-06-22 00:21:17 +09:00)) https://github.com/whatwg/html/commit/db361b608157b5cf9fd0d491d7dc76cdce80380b

[155] Remove unnecessary and unimplemented canvas tainting when painting text (domenic著, 2016-07-15 02:21:54 +09:00) https://github.com/whatwg/html/commit/6c76b617d2b45326afea2625d174ce2fd5ab6423

[156]

IE11とFirefoxのAdobe PDFで意図しない情報漏洩の可能性 | スラドセキュリティ (2016-11-17 16:32:13 +09:00) https://security.srad.jp/story/16/11/16/147247/

問題の脆弱性は、PDFにプログラムを埋め込める「FormCalc」という機能に関連するもの。FormCalcにはネットワーク経由でコンテンツの取得や送信を行える「Get」や「Post」、「Put」といった命令が用意されている。これを利用してPDFが配信されているドメインと同じドメイン上のデータを取得し、それを外部サーバーに送信するという処理をPDFを閲覧するマシン上で自動実行させることができるという。
一般的なWebブラウザでは、スクリプトによるHTTPリクエストについて、リクエスト先をそのスクリプトを配信するドメインに限定する、「同一オリジンポリシー(same-origin policy)」が適用されている(Mozillaによるドキュメント)。しかし、FormCalcではこの制限が緩く、取得した情報を別のサイトに送信できてしまうという。

[157] Reports feature violates the same-origin policy (Anne van Kesteren著, 2017-02-16 00:51:15 +09:00) https://lists.w3.org/Archives/Public/public-webappsec/2017Feb/0009.html

[158] Re: Reports feature violates the same-origin policy (Mike West著, 2017-02-16 01:56:39 +09:00) https://lists.w3.org/Archives/Public/public-webappsec/2017Feb/0013.html

[159] Re: Reports feature violates the same-origin policy (Daniel Veditz著, 2017-02-16 05:09:24 +09:00) https://lists.w3.org/Archives/Public/public-webappsec/2017Feb/0019.html

[160] Re: Reports feature violates the same-origin policy (Anne van Kesteren著, 2017-02-16 15:25:35 +09:00) https://lists.w3.org/Archives/Public/public-webappsec/2017Feb/0021.html

[161] "Script error." message in window.onerror makes bad DevExp trade off · Issue #2440 · whatwg/html (2017-03-17 16:14:32 +09:00) https://github.com/whatwg/html/issues/2440

[162] Single Trust and Same-Origin Policy v2 (John Wilander著, 2017-03-25 04:25:03 +09:00) https://lists.w3.org/Archives/Public/public-webappsec/2017Mar/0034.html

[163] Re: Single Trust and Same-Origin Policy v2 (Mike West著, 2017-03-28 21:28:08 +09:00) https://lists.w3.org/Archives/Public/public-webappsec/2017Mar/0054.html

[164] Make <body topmargin> win over <iframe marginheight> (#2489) (zcorpan著, 2017-04-18 06:41:29 +09:00) https://github.com/whatwg/html/commit/3fc830124986d8fb0aa53cd2d2f2fea12a926e5d

[166] Enumerate fewer cross-origin properties (annevk著, 2017-11-07 01:09:46 +09:00) https://github.com/whatwg/html/commit/ad8823782e7f6b7d60f8e216901bb76d1a53dd6d

[167] A primer on cross-origin information leaks (Artur Janc著, 2018-05-16 08:24:03 +09:00) https://lists.w3.org/Archives/Public/public-webappsec/2018May/0009.html

[168] Exposing CSS subresource URLs · Issue #70 · w3c/resource-timing (2018-08-23 19:08:02 +09:00) https://github.com/w3c/resource-timing/issues/70

[169] Take tainted origin flag into account for the same origin check (annevk著, 2018-11-20 18:09:39 +09:00) https://github.com/whatwg/fetch/commit/986618a62b2d7d31f93177ed178f0cb21b570d85

[170] Request's tainted origin flag fallout · Issue #756 · whatwg/fetch (2019-04-19 14:43:25 +09:00) https://github.com/whatwg/fetch/issues/756

[171] Take tainted origin flag into account for the same origin check by annevk · Pull Request #834 · whatwg/fetch (2019-04-19 14:43:56 +09:00) https://github.com/whatwg/fetch/pull/834

仕様書