सुरक्षा परीक्षण - समान उत्पत्ति नीति

वेब एप्लिकेशन सुरक्षा मॉडल में समान उत्पत्ति नीति (एसओपी) एक महत्वपूर्ण अवधारणा है।

समान उत्पत्ति नीति क्या है?

इस नीति के अनुसार, यह उन पृष्ठों पर चलने वाली स्क्रिप्ट की अनुमति देता है जो उसी साइट से उत्पन्न होती हैं जो निम्नलिखित का संयोजन हो सकता है -

  • Domain
  • Protocol
  • Port

उदाहरण

इस व्यवहार के पीछे का कारण सुरक्षा है। यदि आपके पास एक विंडो में try.com और दूसरी विंडो में gmail.com है, तो आप अपनी ओर से gmail.com की सामग्री को एक्सेस या संशोधित करने या कार्रवाई करने के लिए try.com से स्क्रिप्ट नहीं चाहते हैं।

नीचे एक ही मूल से वेबपृष्ठ हैं। जैसा कि पहले बताया गया है, एक ही मूल डोमेन / प्रोटोकॉल / पोर्ट को ध्यान में रखता है।

  • http://website.com
  • http://website.com/
  • http://website.com/my/contact.html

नीचे एक अलग मूल से वेबपेज हैं।

  • http://www.site.co.uk (दूसरा डोमेन)
  • http://site.org (दूसरा डोमेन)
  • https://site.com (दूसरा प्रोटोकॉल)
  • http://site.com:8080 (दूसरा पोर्ट)

IE के लिए एक ही मूल नीति अपवाद

इंटरनेट एक्सप्लोरर में एसओपी के दो प्रमुख अपवाद हैं।

  • पहला वाला 'ट्रस्टेड जोन' से संबंधित है। यदि दोनों डोमेन अत्यधिक विश्वसनीय क्षेत्र में हैं तो समान उत्पत्ति नीति पूरी तरह से लागू नहीं है।

  • IE में दूसरा अपवाद पोर्ट से संबंधित है। IE समान मूल नीति में पोर्ट शामिल नहीं करता है, इसलिए http://website.com और http://wesite.com:4444 को एक ही मूल से माना जाता है और कोई प्रतिबंध लागू नहीं होते हैं।