Pengujian Keamanan - Kebijakan Asal yang Sama
Same Origin Policy (SOP) adalah konsep penting dalam model keamanan aplikasi web.
Apa itu Kebijakan Asal yang Sama?
Sesuai dengan kebijakan ini, ini mengizinkan skrip yang berjalan pada halaman yang berasal dari situs yang sama yang dapat merupakan kombinasi dari berikut -
- Domain
- Protocol
- Port
Contoh
Alasan di balik perilaku ini adalah keamanan. Jika Anda memiliki try.com di satu jendela dan gmail.com di jendela lain, Anda TIDAK ingin skrip dari try.com mengakses atau mengubah konten gmail.com atau menjalankan tindakan dalam konteks gmail atas nama Anda.
Di bawah ini adalah halaman web dari asal yang sama. Seperti dijelaskan sebelumnya, asal yang sama mempertimbangkan domain / protokol / port.
- http://website.com
- http://website.com/
- http://website.com/my/contact.html
Di bawah ini adalah halaman web dari asal yang berbeda.
- http://www.site.co.uk (domain lain)
- http://site.org (domain lain)
- https://site.com (protokol lain)
- http://site.com:8080 (port lain)
Pengecualian kebijakan Asal yang sama untuk IE
Internet Explorer memiliki dua pengecualian utama untuk SOP.
Yang pertama terkait dengan 'Zona Tepercaya'. Jika kedua domain berada di zona yang sangat tepercaya, maka kebijakan Asal yang Sama tidak berlaku sepenuhnya.
Pengecualian kedua di IE terkait dengan port. IE tidak memasukkan port ke dalam kebijakan Same Origin, karenanya http://website.com dan http://wesite.com:4444 dianggap dari asal yang sama dan tidak ada batasan yang diterapkan.