Благодаря инженерам Netscape, внедрившим Политику единого происхождения (SOP), вы можете свободно просматривать конфиденциальные веб-страницы, не передавая свои данные другой странице.
Как бы ни была важна концепция политики одного и того же происхождения, ее трудно понять многим пользователям Интернета. Эта статья поможет вам лучше понять, как это работает и почему это важно.
Что такое политика единого происхождения (SOP)?
Политика того же происхождения — это механизм безопасности браузера, посредством которого веб-браузер ограничивает доступ другого сценария веб-страницы и данных к своим данным и информации. Однако он разрешает скрипты веб-страницы и данные, которые связаны с ней.
В соответствии с политикой одного и того же происхождения браузеры предотвращают взаимодействие содержимого разных источников (веб-страниц) с их собственным. Правила политики одинакового происхождения гласят, что все ресурсы, загружаемые браузером, должны иметь один и тот же протокол (также может называться схемой), URL-адрес и порт, используемые для доступа к ресурсу.
Вот пример:
Допустим, вы посещаете веб-страницу myexample.com, а затем посещаете example.com. Политика того же происхождения предотвращает доступ JavaScript myexample.com к информации на example.com.
Протокол — «http», домен — «myexample.com» или «example.com», а номер порта — «80». По умолчанию каждый веб-сайт или веб-страница, как правило, имеют один и тот же порт, который равен «80».
Без политики того же происхождения после входа в myexample.com, простой вызов JavaScript, загруженный в его iframe, может использоваться для ввода элементов DOM (объектная модель документа) из примера.com. Это приведет к раскрытие конфиденциальных данных с разрушительными последствиями.
Важно отметить, что политика одинакового происхождения относится только к скриптам. Ресурсы, такие как CSS, изображения и гибкие загружаемые сценарии, могут быть доступны из разных источников с использованием соответствующих тегов HTML, за исключением шрифтов.
Таким образом, любые атаки на не-скрипты эффективны, потому что злоумышленники используют тот факт, что HTML-теги не подпадают под действие политики одного и того же происхождения. Это, несомненно, один из его недостатков.
Еще одним недостатком являются постоянные ограничения на количество сложных операций в современных веб-приложениях.
Несмотря на то, что политика одного и того же происхождения отличается безопасностью, в большинстве случаев она влияет на несколько поддоменов или доменов одной и той же организации. Обмен информацией с доменами затруднен, даже если они вместе.
Почему политика единого происхождения (SOP) важна?
Политика одного и того же источника касается не только создания правил между веб-страницами или источниками; это актуально, особенно в отношении кибератак. Он предлагает некоторые преимущества безопасности онлайн-пользователям в защите их информации.
Вот некоторые преимущества политики одного и того же происхождения.
1. Предотвращает вредоносные атаки
Политика единого источника помогает устранить потенциально вредоносные векторы атак на веб-странице или источнике, особенно на веб-страницах, на которых размещены или хранятся конфиденциальные пользовательские данные. Он делает это, проводя предполагаемые потенциальные атаки на месте, прежде чем они обострятся.
Если вы реализуете политику одного и того же источника на своей веб-странице или в браузере, количество злонамеренных атак значительно снизится.
2. Ограничение взаимодействия
Политика того же источника помогает ограничить взаимодействие сценария с веб-сайта со сценарием другой веб-страницы.
Когда есть ограничение на общие данные, все ресурсы из источника надежно защищены. Ярким примером этого является тот, который мы упоминали о myexample.com анализ сценария примера.ком.
3. Предотвращение несанкционированного доступа для чтения
Политика того же источника помогает защитить сайты, использующие сеансы проверки подлинности. Это можно увидеть на сайтах, использующих функцию «запомнить меня».
Политика работает, сохраняя привилегированную информацию в безопасности. Это предотвращает несанкционированный доступ для чтения из одного источника в другой.
4. Действует для файлов cookie
Политика того же происхождения запрещает злоумышленнику чтение или установка файлов cookie на целевом исходном домене. Это не позволяет им вставить действительный токен в их разработанную форму. Разрешение не нужно хранить на сервере, что является дополнительным преимуществом этого метода по сравнению с шаблоном синхронизации.
Защитите свои данные с помощью единой политики
Политика одного и того же источника лежит в основе многих процессов веб-безопасности, включая доступ к DOM, JavaScript, файлы cookie и многое другое.
Существуют различные реализации политики одного и того же источника для разных типов веб-контента. Точно так же существуют разные определения того, как политика одного и того же источника применяется к файлам cookie, JavaScript и доступу к DOM в разных браузерах.
Будьте более осторожны при создании своего сайта, чтобы обеспечить лучшую безопасность и улучшить взаимодействие с пользователем с помощью политики того же источника.
Что такое фингерпринтинг браузера и как от него защититься?
Читать дальше
Похожие темы
- Безопасность
- Компьютерная безопасность
- Веб-разработка
Об авторе
Крис Одогву стремится делиться знаниями через свои письма. Страстный писатель, он открыт для сотрудничества, сетей и других деловых возможностей. Он имеет степень магистра в области массовых коммуникаций (специальность «Связи с общественностью и реклама») и степень бакалавра в области массовых коммуникаций.
Подпишитесь на нашу рассылку
Подпишитесь на нашу рассылку технических советов, обзоров, бесплатных электронных книг и эксклюзивных предложений!
Нажмите здесь, чтобы подписаться
