Что такое та же политика происхождения?

Политика одинакового происхождения (SOP) — это политика безопасности браузера, обеспечиваемая веб-браузером, которая регулирует поток данных между веб-сайтами и веб-приложениями. Это предотвращает доступ веб-страниц к DOM других веб-страниц. Основная цель — избежать несанкционированного межсайтового доступа.

Что означает Origin в SOP?

Origin включает протокол , имя хоста (и поддомен) и порт. Это означает, что ресурс с одним и тем же протоколом: имя хоста: порт должен иметь одно и то же происхождение. Рассмотрим пример:

  • http://eductive.io/page1.html и http://eductive .io/page2.html имеют одно и то же происхождение, так как у них одинаковое имя хоста протокола (Http) (Educative.io) и порт.
  • http:// eductive.io/page1.html и https://eductive.io/page1.html не имеют одинакового происхождения, так как у них разные протоколы (http и https).

Политики применяются при взаимодействии между элементами из разных источников, например:

  • Файлы cookie — сеансовые файлы cookie для определенного веб-сайта нельзя отправить на другой веб-сайт. Эти файлы cookie зависят только от имени хоста, а не от порта и протокола.
  • AJAX-вызовы
  • JS и DOM . Страницы не могут получить доступ к содержимому своего iframe, если они не из одного и того же браузера.

Важность

Политика одинакового происхождения не позволяет другим пользователям читать пользовательские данные через использование файлов cookie и т. д. Когда отправляется HTTP-запрос, также отправляется любой файл cookie, связанный с идентификатором сеанса.

Файлы cookie также содержат информацию для аутентификации. Он создает ответ HTTP, специфичный для пользователя, который может содержать конфиденциальную информацию. Таким образом, даже если вы посетите вредоносную веб-страницу и в нее включены фреймы, которые берут данные из Facebook, они не смогут прочитать ваш ответ и украсть вашу личную информацию.

Однако СОП, допускает исключения, когда действие не представляет угрозы безопасности для пользователя, например при использовании iframe, содержащего изображения, CSS или скрипт с другого сайта. Это называется загрузкой страниц из разных источников.

Даже если страница может загружать эти внешние ресурсы, JavaScript не может получить доступ к их содержимому.

Оцените статью
nanomode.ru
Добавить комментарий