同一生成元ポリシー(どういつせいせいげんポリシー、英: Same-Origin Policy)とは、1995年Netscape社によってJavaScriptと同時にウェブブラウザに導入されたセキュリティ上の考え方で、コンテンツがブラウザに来る源泉(origin)に基づいて整理して、外部からの干渉を防ごうとする。 同一源泉ポリシー、同一オリジンポリシーとも表記される。 厳密には異なるがクロスドメイン、クロスサイトの制限と表記されることもある。 Originはオリジン、源泉とも表記され、以下の3つを一組としてすべて一致するとき同一とみなす。 表題に反して、コンテンツは動的に生成されるとは限らない[1]。 ホスト スキーム ポート 例えば、次のものは同一のところから来たと扱われる。 http://example.com/ http://example.com:80/ http://example