Same-Origin Policy

一言でいうと

ブラウザが異なるオリジン間でのデータアクセスを原則禁じる、Webセキュリティの基本ルールのこと。

詳しい意味

同一オリジンポリシー（Same-Origin Policy、SOP）は、Webブラウザが「異なるオリジン（プロトコル / ドメイン / ポートが違う）間で互いのデータに勝手にアクセスできないようにする」基本ルールです。Web のセキュリティの土台で、これがあるから「あなたが開いた怪しいサイトが、別タブで開いている銀行サイトの画面を読んだり操作したり」はできません。ただし完全閉鎖だと不便なので、サーバーが許可した範囲だけ例外的に通信できる仕組みが CORS、機能ごとに権限を制御する仕組みが Permissions Policy / CSP、と階層化されています。「SOP は守る、必要に応じて CORS で例外を作る」が基本姿勢です。

何に使うか

Webセキュリティの設計・教育の出発点として。なぜ CORS / CSP が必要かを説明する文脈。脆弱性報告書を読み解く時の前提知識。

どんな時に出るか

「これは SOP で守られてる」「SOP の例外として CORS で許可」「SOP がなかったら Web は危険」といった場面で登場します。

具体例

• 新人にWebセキュリティを教える際、SOPから始めて CORS / CSP に進む流れにしている。
• SOPで守られているからこそ Web で銀行や決済が成立している、という設計の背景を理解しておきたい。

別名・略称

関連語

初心者向けメモ

アパートの「他人の部屋に勝手に入っちゃダメ」というルールと同じです。これがあるから安心して暮らせる。郵便屋さん（CORS で許可された相手）だけ玄関までは入れる、という例外運用も組み合わさっています。

この説明に改善点はありますか？

提案は管理者が確認した後に反映されます