取得器

[5] location.href の取得器は、次のようにしなければなりません >>2。

[6] 文脈オブジェクトの関係するDocumentの起源文書の起源と入口設定群オブジェクトの起源が同じ起源ドメインでなければ、
1. [7] SecurityError 例外を投げ、ここで停止します。
[8] 文脈オブジェクトの URLLocation (DOM) にURL直列化器を適用した結果を返します。

設定器

[3] location.href の設定器は、次のようにしなければなりません >>2 。

[9] URL を、入口設定群オブジェクトに関して、与えられた値のURLの構文解析を行った結果に設定します。
[10] URL が失敗なら、
1. [11] TypeError 例外を投げ、ここで停止します。
[12] 文脈オブジェクトと 結果の URL記録について Location-object-setter navigate を実行します。

[13]

設定器は同じ起源ドメインかどうかの検査を行いません。ですから、 Location オブジェクトにアクセスすることができれば、任意の起源が当該閲覧文脈の navigate を呼び出すことができます。

参照元

[17] location.href の設定による navigate (ページ遷移) では、通常通り参照元 (Referer:) が設定されます。 location.hash に限ってこれを抑制する方法はありません。

[18] かわりに、少し手間がかかりますが、 referrerpolicy 属性付きの a 要素を作成して click メソッドを呼び出すことで、参照元を制御しつつ遷移できます。

歴史

[1] Masato Kinugawa Security Blog: location.hrefの盲点 ( (2012-08-07 01:59:56 +09:00 版)) http://masatokinugawa.l0.cm/2012/08/safari-location.href.html

[4] Define security around Window, WindowProxy, and Location properly · whatwg/html@acae3df (2016-03-13 23:37:36 +09:00 版) https://github.com/whatwg/html/commit/acae3df652b382e9f4f1d1b4dc7e08e2b00df821

[15] Editorial: non-relative flag got renamed · whatwg/html@d360c27 (2016-03-31 12:41:51 +09:00 版) https://github.com/whatwg/html/commit/d360c27d44c52390441b5910d39e898160ec016d

[16] Merge effective script origin into origin · whatwg/html@8a843f2 (2016-03-31 18:01:12 +09:00 版) https://github.com/whatwg/html/commit/8a843f2169a6864a3024c4329528dccb2051d275

仕様書

性質

取得器

設定器

参照元

歴史