ブラウザAPIがクロスドメインリクエストを制限するのはなぜですか？

悪意のあるWebサイトにアクセスした場合、次のことを確認したいと思います。

1. 私が使用している他のウェブサイトから私の個人データを読み取ることはできません。 gmail.comを読んでattacker.comを考えてください
2. 私が使用している他のWebサイトでは、私に代わってアクションを実行できません。攻撃者.comがbank.comの私の口座から資金を送金すると考えてください

同一生成元ポリシーは最初の問題を解決します。 2番目の問題はクロスサイトリクエストフォージェリと呼ばれ、現在適用されているクロスドメイン制限では解決できません。

同一生成元ポリシーは、一般的に次のルールと一致しています-

• ルール1：別のドメインから何も読めない
• ルール2：別のドメインに好きなものを書き込むことができますが、ルール＃1では応答を読み取ることができません。
• ルール3：クロスドメインのGETリクエストとPOSTリクエストを自由に行うことができますが、HTTPヘッダーを制御することはできません

リストしたさまざまなものが上記のルールにどのように一致するかを見てみましょう。

1. <img>タグを使用するとHTTPリクエストを作成できますが、画像を表示する以外に画像の内容を読み取る方法はありません。たとえば、これを<img src="http://bank.com/get/latest/funds"/>すると、リクエストは通過します（ルール2）。しかし、攻撃者が私の残高を確認する方法はありません（ルール1）。

2. <script>タグはほとんど<img>のように機能します。 <script src="http://bank.com/get/latest/funds">のようなことをすると、リクエストは通過します。また、ブラウザは応答をJavaScriptとして解析しようとし、失敗します。

3. JSONPと呼ばれる<script>タグの悪用はよく知られています。この場合、クロスドメインサーバーと共謀して、クロスドメインを「読み取る」ことができます。ただし、クロスドメインサーバーの明示的な関与がなければ、<script>タグを介して応答を読み取ることはできません。

4. スタイルシートの<link>は、応答がCSSとして評価されることを除いて、ほとんど<script>タグと同じように機能します。一般に、応答を読み取ることはできません-応答が何らかの形で整形式のCSSである場合を除きます。

5. <iframe>は本質的に新しいブラウザウィンドウです。クロスドメインiframeのHTMLを読み取ることはできません。ちなみに、クロスドメインiframeのURLは変更できますが、そのURLを読み取ることはできません。上記の2つのルールに従っていることに注目してください。

6. XMLHttpRequestは、HTTPリクエストを作成するための最も用途の広い方法です。これは完全に開発者の管理下にあります。ブラウザは応答に対して何もしません。たとえば、<img>、<script>、または<link>の場合、ブラウザは特定の形式を想定し、通常はそれを適切に検証します。ただし、XHRには、規定の応答形式はありません。そのため、ブラウザは同じOriginポリシーを適用し、クロスドメインWebサイトで明示的に許可されていない限り、応答を読み取れないようにします。

7. font-face経由のフォントは異常です。 AFAIK、Firefoxのみがオプトイン動作を必要とします。他のブラウザでは、画像を使用するのと同じようにフォントを使用できます。

要するに、同一生成元ポリシーは一貫しています。クロスドメインリクエストを行う方法を見つけた場合そしてクロスドメインウェブサイトからの明示的な許可なしにレスポンスを読む-あなたは世界中で見出しを作るでしょう。

[〜＃〜] edit [〜＃〜]：サーバー側プロキシでこれらすべてを回避できないのはなぜですか？

Gmailでパーソナライズされたデータを表示するには、ブラウザからのCookieが必要です。一部のサイトでは、資格情報がブラウザに保存されるHTTP基本認証を使用しています。

サーバー側プロキシは、Cookieまたは基本認証資格情報のいずれにもアクセスできません。そのため、リクエストを送信できたとしても、サーバーはユーザー固有のデータを返しません。