Kiểm tra bảo mật - Chính sách nguồn gốc giống nhau
Chính sách nguồn gốc tương tự (SOP) là một khái niệm quan trọng trong mô hình bảo mật ứng dụng web.
Chính sách Xuất xứ Giống nhau là gì?
Theo chính sách này, nó cho phép các tập lệnh chạy trên các trang có nguồn gốc từ cùng một trang web có thể là sự kết hợp của những điều sau:
- Domain
- Protocol
- Port
Thí dụ
Lý do đằng sau hành vi này là bảo mật. Nếu bạn có try.com trong một cửa sổ và gmail.com trong cửa sổ khác, thì bạn KHÔNG muốn một tập lệnh từ try.com truy cập hoặc sửa đổi nội dung của gmail.com hoặc thực hiện các hành động trong ngữ cảnh của gmail thay mặt bạn.
Dưới đây là các trang web từ cùng một nguồn gốc. Như đã giải thích trước đây, nguồn gốc giống nhau sẽ xem xét miền / giao thức / cổng.
- http://website.com
- http://website.com/
- http://website.com/my/contact.html
Dưới đây là các trang web từ một nguồn khác.
- http://www.site.co.uk (miền khác)
- http://site.org (miền khác)
- https://site.com (một giao thức khác)
- http://site.com:8080 (cổng khác)
Chính sách xuất xứ giống nhau Ngoại lệ cho IE
Internet Explorer có hai ngoại lệ chính đối với SOP.
Cái đầu tiên liên quan đến 'Vùng đáng tin cậy'. Nếu cả hai miền đều nằm trong vùng có độ tin cậy cao thì chính sách Nguồn gốc giống nhau hoàn toàn không được áp dụng.
Ngoại lệ thứ hai trong IE liên quan đến cổng. IE không đưa vào chính sách Nguồn gốc giống nhau, do đó http://website.com và http://wesite.com:4444 được coi là có cùng nguồn gốc và không có hạn chế nào được áp dụng.