クロスドメイン制約

セキュリティ上、HTMLファイルが置かれているドメインのサーバとしか通信できない制約、これがクロスドメイン制約。

  • 同じドメイン上のファイルには制約はかからない。
  • 異なるドメインにあるファイルは制約がかかる。参照できなかったり実行できなかったり。
  • ただし、同じサーバにあるスクリプトから別ドメインのWebAPIを利用することは可能。

それらはドメインのルートにある crossdomain.xml(マスターポリシーファイル)に依存する。

例えば GoogleDrive なら https://googledrive.com/crossdomain.xml内容はこんな感じ
[code lang=”xml”]
<?xml version=”1.0″?>
<!DOCTYPE cross-domain-policy SYSTEM “http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd”>
<cross-domain-policy>
<site-control permitted-cross-domain-policies=”by-content-type” />
</cross-domain-policy>

[/code]
ちなみに by-content-type は

[HTTP/HTTPS only] Only policy files served with Content-Type: text/x-cross-domain-policy are allowed.

は text/*、application/xml、application/xhtml+xml のみ許可らしい

CrossDomain_PolicyFile_Specification.pdf


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です