同基因政策(SOP)
在本节中,我们说明了同一原始政策(SOP)是什么以及如何实施。
什么是相同的原始政策?
相同的原始策略是一种Web浏览器安全机制,旨在防止网站相beplay体育能用吗互攻击。
相同的原始策略将脚本限制在一个原点上,从另一个来源访问数据。原点由URI方案,域和端口号组成。例如,考虑以下URL:
http://normal-beplay体育能用吗website.com/example/example.html
这使用该方案http,域normal-beplay体育能用吗website.com和端口号80。下表显示,如果上述URL在上述内容上尝试访问其他原始原则,则如何应用相同的原始策略:
| URL访问 | 允许访问? |
|---|---|
http://normal-beplay体育能用吗website.com/example/ |
是:相同的方案,域和端口 |
http://normal-beplay体育能用吗website.com/example2/ |
是:相同的方案,域和端口 |
https://normal-beplay体育能用吗website.com/example/ |
否:不同的方案和端口 |
http://en.normal-beplay体育能用吗website.com/example/ |
否:不同的域 |
http://www.normal-beplay体育能用吗website.com/example/ |
否:不同的域 |
http://normal-beplay体育能用吗website.com:8080/example/ |
否:不同的端口* |
*Internet Explorer将允许此访问权限,因为IE在应用相同原始策略时不会考虑端口号。
为什么需要相同的原始政策?
当浏览器将HTTP请求从一个原点发送到另一个来源时,任何与其他域相关的cookie(包括身份验证会话cookie)也将作为请求的一部分发送。这意味着响应将在用户的会话中生成,并包含特定于用户的任何相关数据。没有相同的原始政策,如果您访问了一个恶意网站,它将能够从Gmail,Facebook等的私人消息中阅读您的电子邮件。beplay体育能用吗
如何实施相同的原始政策?
相同的原始策略通常控制JavaScript代码对已加载交叉域的内容的访问。通常允许对页面资源进行交叉原始加载。例如,SOP允许通过标签和JavaScript包括