Sicherheitstests - Gleiche Ursprungsrichtlinie
Same Origin Policy (SOP) ist ein wichtiges Konzept im Sicherheitsmodell für Webanwendungen.
Was ist die Richtlinie für denselben Ursprung?
Gemäß dieser Richtlinie können Skripte auf Seiten ausgeführt werden, die von derselben Site stammen. Dies kann eine Kombination der folgenden sein:
- Domain
- Protocol
- Port
Beispiel
Der Grund für dieses Verhalten ist die Sicherheit. Wenn Sie try.com in einem Fenster und gmail.com in einem anderen Fenster haben, möchten Sie NICHT, dass ein Skript von try.com auf den Inhalt von gmail.com zugreift oder diesen ändert oder Aktionen im Kontext von gmail in Ihrem Namen ausführt.
Unten finden Sie Webseiten desselben Ursprungs. Wie bereits erläutert, berücksichtigt derselbe Ursprung Domäne / Protokoll / Port.
- http://website.com
- http://website.com/
- http://website.com/my/contact.html
Unten finden Sie Webseiten anderer Herkunft.
- http://www.site.co.uk (eine andere Domain)
- http://site.org (eine andere Domain)
- https://site.com (ein anderes Protokoll)
- http://site.com:8080 (ein anderer Port)
Gleiche Ursprungsrichtlinie Ausnahmen für IE
Internet Explorer hat zwei Hauptausnahmen zu SOP.
Der erste bezieht sich auf "Vertrauenswürdige Zonen". Wenn sich beide Domänen in einer Zone mit hoher Vertrauenswürdigkeit befinden, gilt die Richtlinie für denselben Ursprung nicht vollständig.
Die zweite Ausnahme im IE bezieht sich auf den Port. Der IE enthält keinen Port in der Same Origin-Richtlinie. Daher werden http://website.com und http://wesite.com:4444 vom selben Ursprung betrachtet und es werden keine Einschränkungen angewendet.