การทดสอบความปลอดภัย - นโยบายแหล่งกำเนิดเดียวกัน

นโยบายแหล่งกำเนิดเดียวกัน (SOP) เป็นแนวคิดสำคัญในรูปแบบการรักษาความปลอดภัยของเว็บแอปพลิเคชัน

นโยบายแหล่งกำเนิดเดียวกันคืออะไร?

ตามนโยบายนี้อนุญาตให้สคริปต์ทำงานบนเพจที่มาจากไซต์เดียวกันซึ่งสามารถรวมกันได้ดังต่อไปนี้ -

  • Domain
  • Protocol
  • Port

ตัวอย่าง

เหตุผลเบื้องหลังพฤติกรรมนี้คือความปลอดภัย หากคุณมีtry.comในหน้าต่างเดียวและgmail.comในหน้าต่างอื่นแสดงว่าคุณไม่ต้องการให้สคริปต์จาก try.com เข้าถึงหรือแก้ไขเนื้อหาของ gmail.com หรือเรียกใช้การดำเนินการในบริบทของ gmail ในนามของคุณ

ด้านล่างนี้คือหน้าเว็บที่มาจากแหล่งกำเนิดเดียวกัน ตามที่อธิบายไว้ก่อนหน้านี้ต้นกำเนิดเดียวกันจะพิจารณาโดเมน / โปรโตคอล / พอร์ต

  • http://website.com
  • http://website.com/
  • http://website.com/my/contact.html

ด้านล่างนี้คือหน้าเว็บที่มาจากแหล่งกำเนิดอื่น

  • http://www.site.co.uk (โดเมนอื่น)
  • http://site.org (โดเมนอื่น)
  • https://site.com (โปรโตคอลอื่น)
  • http://site.com:8080 (พอร์ตอื่น)

ข้อยกเว้นนโยบาย Origin เดียวกันสำหรับ IE

Internet Explorer มีข้อยกเว้นหลักสองประการสำหรับ SOP

  • อันแรกเกี่ยวข้องกับ 'Trusted Zones' หากโดเมนทั้งสองอยู่ในโซนที่มีความน่าเชื่อถือสูงนโยบายจุดเริ่มต้นเดียวกันจะไม่สามารถใช้ได้อย่างสมบูรณ์

  • ข้อยกเว้นที่สองใน IE เกี่ยวข้องกับพอร์ต IE ไม่รวมพอร์ตไว้ในนโยบายแหล่งกำเนิดเดียวกันดังนั้น http://website.com และ http://wesite.com:4444 จึงได้รับการพิจารณาจากแหล่งที่มาเดียวกันและไม่มีการใช้ข้อ จำกัด ใด ๆ