Security 9月 14, 2007
(Last Updated On: 2007年9月18日)


This restriction on “read” access to web resources is very strict and generally appropriate. However, there are scenarios where an application would like to “read” data from another resource on the web without these restrictions and in these scenarios the browser’s default “security sandbox” has to be extended or eased.

つまり「Same Originポリシー」を緩くする規格です。


Content-Access-Control: allow <*> exclude <*>
Content-Access-Control: allow <>

Means that every subdomain of can access the resource including, but with the exclusion of all other subdomains of

Content-Access-Control: allow <> <*>

Means that and all its subdomains can access the resource.


セキュリティ的には「Same Originポリシー」を緩くするのはリスクが高くなる事を意味します。Webセキュリティの根幹である「Same Originポリシー」はどちらにしてもブラウザとプラグイン任せなので、少し緩くしても同じ、という考えなのでしょう。


投稿者: yohgaki