同一オリジンポリシーを回避する方法

document.domainメソッド

• メソッドの種類：iframe。

これは、document.domainの値を現在のドメインのサフィックスに設定するiframeメソッドです。もしそうであれば、より短いドメインがその後のOriginチェックに使われます。たとえば、ドキュメントのhttp://store.company.com/dir/other.htmlにあるスクリプトが次の文を実行するとします。

document.domain = "company.com";

そのステートメントが実行された後、ページはhttp://company.com/dir/page.htmlでOriginチェックに合格します。しかし、同じ理由で、company.comはdocument.domainをothercompany.comに設定できませんでした。

この方法では、メインドメインにあるページのサブドメインにあるiframeからjavascriptを実行することができます。 Firefoxのようなブラウザではdocument.domainを完全に別名のドメインに変更することはできないため、この方法はクロスドメインリソースには適していません。

出典： https://developer.mozilla.org/ja/Same_Origin_policy_for_JavaScript

クロスオリジンリソース共有方式

• メソッドの種類：AJAX。

クロスオリジンリソース共有 （CORS）は、起点を越えてソースにアクセスするときにブラウザとサーバーが通信する方法を定義するW3Cワーキングドラフトです。 CORSの背後にある基本的な考え方は、要求と応答が成功するか失敗するかを判断するためにブラウザとサーバーの両方が互いについて十分に知ることができるようにカスタムHTTPヘッダーを使用することです。

単純なリクエストの場合、カスタムヘッダなしでGETまたはPOSTを使用し、本文がtext/plainの場合、リクエストはOriginという追加のヘッダとともに送信されます。 Originヘッダーには、リクエストしているページのオリジン（プロトコル、ドメイン名、およびポート）が含まれているため、サーバーはレスポンスを提供する必要があるかどうかを簡単に判断できます。 Originヘッダーの例は次のようになります。

Origin: http://www.stackoverflow.com

リクエストを許可するとサーバーが判断した場合は、送信されたのと同じOriginをエコーバックするAccess-Control-Allow-Originヘッダーを送信します。パブリックリソースの場合は*を送信します。例えば：

Access-Control-Allow-Origin: http://www.stackoverflow.com

このヘッダが見つからない場合、または元が一致しない場合、ブラウザはリクエストを許可しません。すべて問題なければ、ブラウザはリクエストを処理します。リクエストもレスポンスもクッキー情報を含まないことに注意してください。

Mozillaチームは、 でCORS についての投稿で、ブラウザがXHRによるCORSをサポートしているかどうかを判断するためにwithCredentialsプロパティの存在をチェックするべきであると提案します。その後、すべてのブラウザをカバーするためにXDomainRequestオブジェクトの存在と組み合わせることができます。

function createCORSRequest(method, url){
    var xhr = new XMLHttpRequest();
    if ("withCredentials" in xhr){
        xhr.open(method, url, true);
    } else if (typeof XDomainRequest != "undefined"){
        xhr = new XDomainRequest();
        xhr.open(method, url);
    } else {
        xhr = null;
    }
    return xhr;
}

var request = createCORSRequest("get", "http://www.stackoverflow.com/");
if (request){
    request.onload = function() {
        // ...
    };
    request.onreadystatechange = handler;
    request.send();
}

CORSメソッドを機能させるには、あらゆる種類のサーバーヘッダーメカニズムにアクセスする必要があり、単にサードパーティのリソースにアクセスすることはできません。

出典： http://www.nczonline.net/blog/2010/05/25/cross-domain-ajax-with-cross-Origin-resource-sharing/

window.postMessageメソッド

• メソッドの種類：iframe。

window.postMessageを呼び出すと、実行する必要がある保留中のスクリプトが完了したときにMessageEventがターゲットウィンドウに送出されます（たとえば、window.postMessageがイベントハンドラから呼び出された場合は残りのイベントハンドラ、以前に設定した保留タイムアウトなど）。 MessageEventは型メッセージ、window.postMessageに与えられた最初の引数の文字列値に設定されるdataプロパティ、window.postMessageが呼び出された時点でwindow.postMessageを呼び出すウィンドウ内のメイン文書の原点に対応するOriginプロパティ、そしてwindow.postMessageが呼び出されるウィンドウであるsourceプロパティ。

window.postMessageを使用するには、イベントリスナを添付する必要があります。

    // Internet Explorer
    window.attachEvent('onmessage',receiveMessage);

    // Opera/Mozilla/Webkit
    window.addEventListener("message", receiveMessage, false);

そしてreceiveMessage関数は宣言されなければなりません：

function receiveMessage(event)
{
    // do something with event.data;
}

オフサイトのiframeもpostMessageを介してイベントを正しく送信する必要があります。

<script>window.parent.postMessage('foo','*')</script>

ウィンドウ内のドキュメントの場所に関係なく、メッセージを送信するために、どのウィンドウでも他のウィンドウのこのメソッドにアクセスできます。したがって、メッセージを受信するために使用されるイベントリスナーは、Originおよび場合によってはソースプロパティを使用して、メッセージの送信者の身元を最初に確認する必要があります。これは控えめに言うことはできません。Originおよび場合によってはsourceプロパティをチェックしないと、クロスサイトスクリプティング攻撃が可能になります。

出典： https://developer.mozilla.org/ja/DOM/window.postMessage