安全测试 – 同源策略

安全测试 – 同源策略


同源策略 (SOP) 是 Web 应用程序安全模型中的一个重要概念。

什么是同源政策?

根据此政策,它允许在源自同一站点的页面上运行脚本,这些页面可以是以下内容的组合 –

  • 领域
  • 协议
  • 港口

例子

这种行为背后的原因是安全性。如果您在一个窗口中try.com在另一个窗口中有gmail.com,那么您不希望 try.com 中的脚本代表您访问或修改 gmail.com 的内容或在 gmail 的上下文中运行操作。

以下是来自同一来源的网页。如前所述,同源考虑域/协议/端口。

  • http://website.com
  • http://website.com/
  • http://website.com/my/contact.html

以下是来自不同来源的网页。

  • http://www.site.co.uk(另一个域)
  • http://site.org(另一个域)
  • https://site.com(另一种协议)
  • http://site.com:8080(另一个端口)

IE 同源策略例外

Internet Explorer 有两个主要的 SOP 例外。

  • 第一个与“可信区域”有关。如果两个域都在高度信任的区域中,则同源策略不完全适用。

  • IE 中的第二个异常与端口有关。IE 没有将端口包含在同源策略中,因此 http://website.com 和 http://wesite.com:4444 被认为是同源的,并且没有应用任何限制。

觉得文章有用?

点个广告表达一下你的爱意吧 !😁