critical security mechanism
document를 받을 때 origin으라는 표를 달아둔다
document.loxation.origin
이게 다르면 제한 두는게 sop
scheme, host, port만 보고 origin 판단
scheme은 protocol
same origin 상호 document 자유롭게 접근 가능
cross origin 상호 document 접근불가 매우 제한적 객체만 접근
window.postmessage로만 가능
crossorigin도 write는 되는데 csrf대첵 없으면 공격된다
cross origin embedding도 가능
read안댐
필요에 따라
access control allow origin에 서버에서 보낼 때 헤더에 올려두먼 댐