Domänbegränsningsregel

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 7 april 2022; verifiering kräver 1 redigering .

The Same Origin Policy (Same Origin Policy  )  är  ett viktigt begrepp i säkerhetsmodellen för webbapplikationer . Som en del av denna policy tillåter webbläsaren att skript på en webbsida hämtar data på en andra webbsida, men bara om båda webbsidorna har samma ursprung ( Ursprung ). Ursprunget består av en kombination av en schema-URI, ett domännamn och ett portnummer. Policyn begränsar skadliga skript från en webbsida från att få tillgång till känslig information på en annan webbsida via sidans DOM-träd .

Denna mekanism är särskilt viktig för moderna webbapplikationer som är mycket beroende av HTTP-cookies för att upprätthålla autentiserade användarsessioner. Eftersom servrar förlitar sig på HTTP-cookies för att avslöja känslig information eller utföra tillståndsändringar på klientsidan, måste strikt åtskillnad av innehåll som tillhandahålls av orelaterade webbplatser upprätthållas för att förhindra förlust av känslig data eller äventyrad dataintegritet.

Det är mycket viktigt att komma ihåg att principen om samma ursprung endast gäller för manus. Detta innebär att resurser som bilder, CSS och dynamiskt laddade skript kan nås från vilken källa som helst genom lämpliga HTML-taggar (förutom typsnitt). Attackerna bygger på att principen om samma ursprung inte gäller HTML-taggar.

Historik

Konceptet med samma ursprungsprincip introducerades av Netscape Navigator 2.02 1995, kort efter introduktionen av JavaScript i Netscape 2.0. JavaScript gjorde det möjligt att använda skript på webbsidor, i synnerhet för att få programmatisk åtkomst till Document Object Model (DOM).

Principen var ursprungligen utformad för att skydda åtkomst till DOM, men har sedan dess utökats för att skydda känsliga delar av globala JavaScript-objekt.

Checklista

För att illustrera ger följande tabell en översikt över typiska kontroller för jämförelse med exempelwebbadressen "http://www.example.com/dir/page.html".

Jämförbar URL Undersökning Orsak
http://www.example.com/dir/page.html _ Motsvarar Samma protokoll och domän
http://www.example.com/katalog2/annat.html _ Motsvarar Samma protokoll och domän
http:// användarnamn:lösenord@ www.exempel.com /katalog2/annat.html Motsvarar Samma protokoll och domän
http://www.example.com:81/dir/annat.html _ _ Matchar inte Samma protokoll och domän men annan port
https://www.example.com/dir/annat.html _ Matchar inte Protokollet skiljer sig
http://en.example.com/dir/other.html _ _ Matchar inte Domänen skiljer sig
http://example.com/dir/annat.html _ _ Matchar inte Domänen skiljer sig (full matchning krävs)
http://v2.www.example.com/dir/other.html _ _ Matchar inte Domänen skiljer sig (full matchning krävs)
http://www.example.com:80/dir/annat.html _ _ Odefinierad Explicit portspecifikation. Beror på implementeringen i webbläsaren.

Se även

Länkar