クロスドメイン制約
セキュリティ上、HTMLファイルが置かれているドメインのサーバとしか通信できない制約、これがクロスドメイン制約。
- 同じドメイン上のファイルには制約はかからない。
- 異なるドメインにあるファイルは制約がかかる。参照できなかったり実行できなかったり。
- ただし、同じサーバにあるスクリプトから別ドメインのWebAPIを利用することは可能。
それらはドメインのルートにある crossdomain.xml(マスターポリシーファイル)に依存する。
例えば GoogleDrive なら https://googledrive.com/crossdomain.xml。内容はこんな感じ
[code lang=”xml”]
<?xml version=”1.0″?>
<!DOCTYPE cross-domain-policy SYSTEM “http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd”>
<cross-domain-policy>
<site-control permitted-cross-domain-policies=”by-content-type” />
</cross-domain-policy>
[/code]
ちなみに by-content-type は
[HTTP/HTTPS only] Only policy files served with Content-Type: text/x-cross-domain-policy are allowed.
は text/*、application/xml、application/xhtml+xml のみ許可らしい
CrossDomain_PolicyFile_Specification.pdf