同一生成元ポリシーを回避する方法

同じオリジンポリシー

HTML / JSの同一生成元ポリシーに関するコミュニティーWikiを作成して、このトピックを検索している人を助けたいと思っています。これは、SOで最も検索されているトピックの1つであり、統合されたWikiがないため、ここに移動します:)

同じ生成元ポリシーは、ある生成元からロードされたドキュメントまたはスクリプトが別の生成元からドキュメントのプロパティを取得または設定することを防ぎます。このポリシーは、Netscape Navigator 2.0までさかのぼります。

同じ生成元のポリシーを回避するためのお気に入りの方法は何ですか？

例を冗長に保ち、できればソースもリンクしてください。

document.domain方法

• メソッドタイプ：iframe。

これは、document.domainの値を現在のドメインのサフィックスに設定するiframeメソッドであることに注意してください。その場合、後続のオリジンチェックに短いドメインが使用されます。たとえば、ドキュメントのスクリプトがhttp://store.company.com/dir/other.html次のステートメントを実行するとします。

document.domain = "company.com";

そのステートメントが実行された後、ページはによるオリジンチェックに合格しhttp://company.com/dir/page.htmlます。ただし、同じ理由で、company.comはに設定できませんでしdocument.domain たothercompany.com。

この方法では、メインドメインをソースとするページのサブドメインをソースとするiframeからJavaScriptを除外できます。Firefoxなどのブラウザではdocument.domainを完全にエイリアンドメインに変更できないため、この方法はクロスドメインリソースには適していません。

ソース：https : //developer.mozilla.org/en/Same_origin_policy_for_JavaScript

Cross-Origin Resource Sharingメソッド

• メソッドタイプ：AJAX。

クロスオリジンリソースシェアリング（CORS）は、W3Cワーキングドラフトであり、オリジン全体でソースにアクセスするときにブラウザとサーバーが通信する方法を定義しています。CORSの背後にある基本的な考え方は、カスタムHTTPヘッダーを使用して、ブラウザーとサーバーの両方が互いについて十分に認識し、要求または応答が成功するか失敗するかを判断できるようにすることです。

シンプルなリクエストの場合、カスタムヘッダーのいずれGETかPOSTを使用するか、または使用せず、本文がtext/plainであるリクエストは、という追加のヘッダーとともに送信されOriginます。Originヘッダーには、要求元ページの起点（プロトコル、ドメイン名、およびポート）が含まれているため、サーバーは応答を提供する必要があるかどうかを簡単に判断できます。Originヘッダーの例は次のようになります。

Origin: http://www.stackoverflow.com

サーバーは、リクエストを許可する必要があると判断した場合、送信Access-Control-Allow-Originされたのと同じオリジンをエコーバックするヘッダーを送信するか*、それがパブリックリソースであるかどうかを確認します。例えば：

Access-Control-Allow-Origin: http://www.stackoverflow.com

このヘッダーがない場合、またはオリジンが一致しない場合、ブラウザはリクエストを許可しません。すべてが順調であれば、ブラウザがリクエストを処理します。リクエストにもレスポンスにもCookie情報が含まれていないことに注意してください。

Mozillaチームは、CORSに関する投稿で、withCredentials プロパティの存在を確認して、ブラウザーがXHRを介してCORSをサポートしているかどうかを判断することを推奨しています。次に、XDomainRequestオブジェクトの存在と組み合わせて、すべてのブラウザーをカバーできます。

function createCORSRequest(method, url){
    var xhr = new XMLHttpRequest();
    if ("withCredentials" in xhr){
        xhr.open(method, url, true);
    } else if (typeof XDomainRequest != "undefined"){
        xhr = new XDomainRequest();
        xhr.open(method, url);
    } else {
        xhr = null;
    }
    return xhr;
}

var request = createCORSRequest("get", "http://www.stackoverflow.com/");
if (request){
    request.onload = function() {
        // ...
    };
    request.onreadystatechange = handler;
    request.send();
}

CORSメソッドが機能するためには、任意のタイプのサーバーヘッダーメカニズムにアクセスする必要があり、サードパーティのリソースに単純にアクセスすることはできません。

出典：http : //www.nczonline.net/blog/2010/05/25/cross-domain-ajax-with-cross-origin-resource-sharing/

window.postMessage方法

• メソッドタイプ：iframe。

window.postMessageを呼び出すと、MessageEvent実行する必要のある保留中のスクリプトが完了すると、ターゲットウィンドウでがディスパッチされます（たとえばwindow.postMessage、イベントハンドラーから呼び出された場合の残りのイベントハンドラー、以前に設定された保留中のタイムアウトなど）。MessageEventタイプメッセージ有しdataに設けられた第一引数の文字列値に設定されているプロパティwindow.postMessage、origin呼び出しウィンドウのメインドキュメントの原点に対応するプロパティwindow.postMessage時にはwindow.postMessage呼ばれていた、そしてsource窓から提示されたプロパティをこれwindow.postMessageと呼ばれています。

を使用するにwindow.postMessageは、イベントリスナーをアタッチする必要があります。

    // Internet Explorer
    window.attachEvent('onmessage',receiveMessage);

    // Opera/Mozilla/Webkit
    window.addEventListener("message", receiveMessage, false);

そしてreceiveMessage関数は宣言されなければなりません：

function receiveMessage(event)
{
    // do something with event.data;
}

オフサイトのiframeも、次を介してイベントを適切に送信する必要がありますpostMessage。

<script>window.parent.postMessage('foo','*')</script>

ウィンドウは、ウィンドウ内のドキュメントの場所に関係なく、いつでも他のウィンドウのこのメソッドにアクセスしてメッセージを送信できます。したがって、メッセージの受信に使用されるイベントリスナーは、最初に、起点とソースのプロパティを使用して、メッセージの送信者のIDを確認する必要があります。これは控えめに言っても過言ではありません。プロパティのチェックに失敗するoriginと、場合によってはsourceプロパティがクロスサイトスクリプト攻撃を有効にします。

ソース：https : //developer.mozilla.org/en/DOM/window.postMessage

リバースプロキシ方式

• メソッドタイプ：Ajax

サーバー上に単純なリバースプロキシを設定すると、ブラウザーがAjaxリクエストに相対パスを使用できるようになりますが、サーバーはリモートの場所へのプロキシとして機能します。

Apacheでmod_proxyを使用する場合、リバースプロキシを設定するための基本的な設定ディレクティブはProxyPassです。通常、次のように使用されます。

ProxyPass     /ajax/     http://other-domain.com/ajax/

この場合、ブラウザは/ajax/web_service.xml相対URLとしてリクエストできますが、サーバーはのプロキシとして機能してこれを処理しhttp://other-domain.com/ajax/web_service.xmlます。

このメソッドの興味深い機能の1つは、リバースプロキシが複数のバックエンドに向けてリクエストを簡単に分散できるため、ロードバランサーとして機能することです。

私はJSONPを使用しています。

基本的に、あなたは追加します

<script src="http://..../someData.js?callback=some_func"/>

あなたのページに。

some_func（）が呼び出され、データが入っていることが通知されます。

AnyOriginは一部のhttpsサイトでは適切に機能しなかったため、httpsで適切に機能するように見えるwhateverorigin.orgというオープンソースの代替を作成しました。

githubのコード。

私が見つけた同じ起源のポリシーを克服する最新の方法はhttp://anyorigin.com/です。

このサイトは、URLを指定するだけで、javascript / jqueryコードを生成するように作成されているため、その起源に関係なく、html / dataを取得できます。つまり、URLまたはWebページをJSONPリクエストにします。

私はそれがかなり便利だと思った:)

以下は、anyoriginのJavaScriptコードの例です。

$.getJSON('http://anyorigin.com/get?url=google.com&callback=?', function(data){
    $('#output').html(data.contents);
});

私はこの画像の信用を主張することはできませんが、それはこの主題について私が知っているすべてと一致し、同時に少しユーモアを提供します。

http://www.flickr.com/photos/iluvrhinestones/5889370258/

JSONPが頭に浮かぶ：

JSONPまたは「パディング付きのJSON」は、基本JSONデータ形式を補完するものです。これは、ページがプライマリサーバー以外のサーバーからJSONをリクエストし、より有意義に使用できるようにする使用パターンです。JSONPは、クロスオリジンリソースシェアリングと呼ばれる最近の方法の代替手段です。

個人的にwindow.postMessageは、私が最近のブラウザーで見つけた最も信頼できる方法です。XSS攻撃にさらされないようにするためにもう少し作業を行う必要がありますが、それは妥当なトレードオフです。

またwindow.postMessage、上記の他の方法を使用して古いブラウザに同様の機能を提供するラップする人気のあるJavaScriptツールキット用のプラグインもいくつかあります。

まあ、私はPHPでcurlを使用してこれを回避しました。ポート82でWebサービスを実行しています。

<?php

$curl = curl_init();
$timeout = 30;
$ret = "";
$url="http://localhost:82/put_val?val=".$_GET["val"];
curl_setopt ($curl, CURLOPT_URL, $url);
curl_setopt ($curl, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt ($curl, CURLOPT_MAXREDIRS, 20);
curl_setopt ($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($curl, CURLOPT_USERAGENT, "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5");
curl_setopt ($curl, CURLOPT_CONNECTTIMEOUT, $timeout);
$text = curl_exec($curl);
echo $text;

?>

PHPファイルを呼び出すJavaScriptは次のとおりです

function getdata(obj1, obj2) {

    var xmlhttp;

    if (window.XMLHttpRequest)
            xmlhttp=new XMLHttpRequest();
    else
            xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");

    xmlhttp.onreadystatechange=function()
    {
        if (xmlhttp.readyState==4 && xmlhttp.status==200)
        {
                document.getElementById("txtHint").innerHTML=xmlhttp.responseText;
        }
    }
    xmlhttp.open("GET","phpURLFile.php?eqp="+obj1+"&val="+obj2,true);
    xmlhttp.send();
}

私のHTMLはポート80のWAMPで実行されます。そこで、同じ起源のポリシーが回避されました:-)

same-origin-policyのいくつかの回避策と説明は次のとおりです
。Thiruのブログ-ブラウザの同じ生成元ポリシーの回避策

これは、そこで入手可能なものをかなり分析します：http : //www.slideshare.net/SlexAxton/breaking-the-cross-domain-barrier

postMessageソリューションについては、以下を参照してください。

https://github.com/chrissrogers/jquery-postmessage/blob/master/jquery.ba-postmessage.js

と少し異なるバージョン：

https://github.com/thomassturm/ender-postmessage/blob/master/ender-postmessage.js