The Same Origin Policy (Same Origin Policy ) är ett viktigt begrepp i säkerhetsmodellen för webbapplikationer . Som en del av denna policy tillåter webbläsaren att skript på en webbsida hämtar data på en andra webbsida, men bara om båda webbsidorna har samma ursprung ( Ursprung ). Ursprunget består av en kombination av en schema-URI, ett domännamn och ett portnummer. Policyn begränsar skadliga skript från en webbsida från att få tillgång till känslig information på en annan webbsida via sidans DOM-träd .
Denna mekanism är särskilt viktig för moderna webbapplikationer som är mycket beroende av HTTP-cookies för att upprätthålla autentiserade användarsessioner. Eftersom servrar förlitar sig på HTTP-cookies för att avslöja känslig information eller utföra tillståndsändringar på klientsidan, måste strikt åtskillnad av innehåll som tillhandahålls av orelaterade webbplatser upprätthållas för att förhindra förlust av känslig data eller äventyrad dataintegritet.
Det är mycket viktigt att komma ihåg att principen om samma ursprung endast gäller för manus. Detta innebär att resurser som bilder, CSS och dynamiskt laddade skript kan nås från vilken källa som helst genom lämpliga HTML-taggar (förutom typsnitt). Attackerna bygger på att principen om samma ursprung inte gäller HTML-taggar.
Konceptet med samma ursprungsprincip introducerades av Netscape Navigator 2.02 1995, kort efter introduktionen av JavaScript i Netscape 2.0. JavaScript gjorde det möjligt att använda skript på webbsidor, i synnerhet för att få programmatisk åtkomst till Document Object Model (DOM).
Principen var ursprungligen utformad för att skydda åtkomst till DOM, men har sedan dess utökats för att skydda känsliga delar av globala JavaScript-objekt.
För att illustrera ger följande tabell en översikt över typiska kontroller för jämförelse med exempelwebbadressen "http://www.example.com/dir/page.html".
| Jämförbar URL | Undersökning | Orsak |
|---|---|---|
| http://www.example.com/dir/page.html _ | Motsvarar | Samma protokoll och domän |
| http://www.example.com/katalog2/annat.html _ | Motsvarar | Samma protokoll och domän |
| http:// användarnamn:lösenord@ www.exempel.com /katalog2/annat.html | Motsvarar | Samma protokoll och domän |
| http://www.example.com:81/dir/annat.html _ _ | Matchar inte | Samma protokoll och domän men annan port |
| https://www.example.com/dir/annat.html _ | Matchar inte | Protokollet skiljer sig |
| http://en.example.com/dir/other.html _ _ | Matchar inte | Domänen skiljer sig |
| http://example.com/dir/annat.html _ _ | Matchar inte | Domänen skiljer sig (full matchning krävs) |
| http://v2.www.example.com/dir/other.html _ _ | Matchar inte | Domänen skiljer sig (full matchning krävs) |
| http://www.example.com:80/dir/annat.html _ _ | Odefinierad | Explicit portspecifikation. Beror på implementeringen i webbläsaren. |