การทดสอบความปลอดภัย - นโยบายแหล่งกำเนิดเดียวกัน
นโยบายแหล่งกำเนิดเดียวกัน (SOP) เป็นแนวคิดสำคัญในรูปแบบการรักษาความปลอดภัยของเว็บแอปพลิเคชัน
นโยบายแหล่งกำเนิดเดียวกันคืออะไร?
ตามนโยบายนี้อนุญาตให้สคริปต์ทำงานบนเพจที่มาจากไซต์เดียวกันซึ่งสามารถรวมกันได้ดังต่อไปนี้ -
- Domain
- Protocol
- Port
ตัวอย่าง
เหตุผลเบื้องหลังพฤติกรรมนี้คือความปลอดภัย หากคุณมีtry.comในหน้าต่างเดียวและgmail.comในหน้าต่างอื่นแสดงว่าคุณไม่ต้องการให้สคริปต์จาก try.com เข้าถึงหรือแก้ไขเนื้อหาของ gmail.com หรือเรียกใช้การดำเนินการในบริบทของ gmail ในนามของคุณ
ด้านล่างนี้คือหน้าเว็บที่มาจากแหล่งกำเนิดเดียวกัน ตามที่อธิบายไว้ก่อนหน้านี้ต้นกำเนิดเดียวกันจะพิจารณาโดเมน / โปรโตคอล / พอร์ต
- http://website.com
- http://website.com/
- http://website.com/my/contact.html
ด้านล่างนี้คือหน้าเว็บที่มาจากแหล่งกำเนิดอื่น
- http://www.site.co.uk (โดเมนอื่น)
- http://site.org (โดเมนอื่น)
- https://site.com (โปรโตคอลอื่น)
- http://site.com:8080 (พอร์ตอื่น)
ข้อยกเว้นนโยบาย Origin เดียวกันสำหรับ IE
Internet Explorer มีข้อยกเว้นหลักสองประการสำหรับ SOP
อันแรกเกี่ยวข้องกับ 'Trusted Zones' หากโดเมนทั้งสองอยู่ในโซนที่มีความน่าเชื่อถือสูงนโยบายจุดเริ่มต้นเดียวกันจะไม่สามารถใช้ได้อย่างสมบูรณ์
ข้อยกเว้นที่สองใน IE เกี่ยวข้องกับพอร์ต IE ไม่รวมพอร์ตไว้ในนโยบายแหล่งกำเนิดเดียวกันดังนั้น http://website.com และ http://wesite.com:4444 จึงได้รับการพิจารณาจากแหล่งที่มาเดียวกันและไม่มีการใช้ข้อ จำกัด ใด ๆ