あるWebページから完全に異なるサーバーに情報を送信するブラウザー拡張機能を考えると、これは同一生成元ポリシーに違反していますか?
1413 次
1 に答える
9
同一生成元ポリシー (SOP) は、JavaScript で記述されている場合でも、ブラウザー拡張機能ではなく、通常の Web ページに適用されます。拡張コードがサーバーから発信されていない場合、「別のサーバー」とはどういう意味ですか? chrome-extension://longhashidentificationstr(拡張スクリプトには、従来のドメイン/オリジンではなく、 のような何らかのオリジンがある場合があります。)任意のWeb ページ ( CORS ヘッダーを持つページを除く) と通信するために、拡張機能を SOP でバインドすることはできません。
拡張機能は SOP に正確に「違反」するわけではありません。代わりに、SOPは適用されません。SOP は、侵害された、または悪意のある Web ページによって引き起こされる損害を制限するように設計されています。Webページにアクセスするのは非常に簡単なので、Web ページを表示するには、そのページをゼロトラストにする必要があります。ただし、拡張機能のインストールは、ユーザーが行う頻度は低く、ユーザーへの影響が大きいため、拡張機能にある程度の信頼を要求することは不合理ではありません。
于 2012-08-07T16:49:54.900 に答える