Благодарение на инженерите на Netscape, които въведоха Политиката за същия произход (SOP), можете свободно да разглеждате чувствителни уеб страници, без да споделяте данните си с друга страница.
Колкото и да е важна, концепцията на политиката за същия произход е трудна за разбиране от много потребители на интернет. Тази статия ще ви даде по-добро разбиране за това как работи и защо е важно.
Какво представлява политиката за същия произход (SOP)?
Политиката за същия произход е механизъм за защита на браузъра, при който уеб браузър ограничава достъпа на друг скрипт и данни на уеб страница до техните данни и информация. Въпреки това, той позволява скриптове и данни на уеб страницата, които корелират с нея.
При една и съща политика за произход браузърите предотвратяват намесата на съдържанието от различен произход (уеб страници) в тяхното. Правилата на една и съща политика за произход гласи, че всички ресурси, заредени от браузъра, трябва да имат един и същ протокол (може също да се нарича схема), URL и порт, използвани за достигане до ресурса.
Ето един пример:
Да приемем, че посещавате уеб страницата myexample.com и след това посещавате example.com. Политиката за същия произход е това, което пречи на JavaScript на myexample.com да има достъп до информацията на example.com.
Протоколът е „http“, домейнът е „myexample.com“ или „example.com“ и номерът на порта „80“. По подразбиране всеки уебсайт или уеб страница има тенденция да има един и същ порт, който е „80“.
Без политика за същия произход, след влизане в myexample.com, обикновено извикване на JavaScript, заредено в неговата iframe, може да се използва за въвеждане на елементите на DOM (Document Object Model) на примера.com. Това ще доведе до излагане на чувствителни данни с вредни последици.
Важно е да се отбележи, че политиката за същия произход се отнася само за скриптове. Ресурси като CSS, изображения и гъвкави заредени скриптове могат да бъдат предоставени от различен произход, като се използват съответните HTML тагове, като шрифтовете са забележително изключение.
Следователно всякакви атаки, направени върху нескриптове, са ефективни, тъй като нападателите използват факта, че HTML таговете не са обект на една и съща политика за произход. Това несъмнено е един от неговите недостатъци.
Друг недостатък са повтарящите се ограничения, поставени върху броя на сложните операции в съвременните уеб приложения.
Въпреки че политиката за един и същи произход е забележителна за сигурността, в повечето случаи тя засяга множество поддомейни или домейни на една и съща организация. Споделянето на информация с домейните е трудно, въпреки че са заедно.
Защо политиката за същия произход (SOP) е важна?
Политиката за един и същи произход не е само за създаване на правила между уеб страници или произход; това е уместно, особено по отношение на кибератаките. Той предлага някои предимства за сигурността на онлайн потребителите при защитата на тяхната информация.
Ето някои предимства на политиката за същия произход.
1. Предотвратява злонамерени атаки
Политиката за същия произход помага за премахване на потенциално злонамерени вектори на атаки върху уеб страница или произход, особено на уеб страници, които съхраняват или съхраняват чувствителни потребителски данни. Той прави това, като провежда предполагаеми потенциални атаки на място, преди те да ескалират.
Ако приложите политиката за същия произход на вашата уеб страница или браузър, има значително намаляване на злонамерените атаки.
2. Ограничаване на взаимодействието
Политиката за същия произход помага да се ограничи начина, по който скрипт от уебсайт взаимодейства със скрипт на друга уеб страница.
Когато има ограничение в споделените данни, всички ресурси от източник са силно защитени. Ярък пример за това е този, който споменахме за моя пример.com обхват на скрипта на примера.com.
3. Предотвратете неоторизиран достъп за четене
Политиката за същия произход помага при защитата на сайтове, които използват сесии за удостоверяване. Това може да се види в сайтове, които използват функцията „запомни ме“.
Политиката работи, като пази привилегированата информация в безопасност. Той предотвратява неоторизиран достъп за четене от един източник към друг.
4. Ефективен за бисквитки
Политиката за същия произход забранява на нападател четене или установяване на бисквитки на целевия изходен домейн. Това им пречи да вмъкнат валиден жетон в измислената им форма. Не е необходимо разрешението да бъде скрито на сървъра, което е допълнително предимство на тази техника спрямо модела за синхронизиране.
Защитете данните си с една и съща политика за произход
Политиката за същия произход е конструкция в основата на много процеси за уеб сигурност, включително достъп до DOM, JavaScript, бисквитки и др.
Има различни реализации на политиката за един и същи произход за различни типове уеб съдържание. По същия начин има различни дефиниции за това как правилата за един и същи произход се прилагат към бисквитките, JavaScript и достъпа до DOM в различните браузъри.
Бъдете по-внимателни, когато създавате вашия сайт, за да осигурите по-добра сигурност и да подобрите потребителското изживяване с една и съща политика за произход.
Какво представлява снемането на пръстови отпечатъци в браузъра и как можете да се защитите от него?
Прочетете Следващото
Свързани теми
- Сигурност
- Кибер защита
- Уеб разработка
За автора
Крис Odogwu се ангажира да предава знания чрез писането си. Страстен писател, той е отворен за сътрудничество, работа в мрежа и други бизнес възможности. Притежава магистърска степен по масови комуникации (връзки с обществеността и реклама) и бакалавърска степен по масови комуникации.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, ревюта, безплатни електронни книги и ексклузивни оферти!
Щракнете тук, за да се абонирате