安全测试同源策略

安全测试同源策略

同源策略(SOP)是Web应用程序安全模型中的一个重要概念。

什么是同源政策?

根据此策略,它允许在源自同一站点的页面上运行脚本,该站点可以是以下组合 -

  • 域(域名)
  • 协议
  • 端口

实例

这种行为背后的原因是安全性。如果您在一个窗口中有try.com而在另一个窗口中有gmail.com,如果您不希望try.com的脚本访问或修改gmail.com的内容,或您想要在gmail的上下文中运行操作。

以下是来自同一来源的网页。如前所述,相同的起源需要考虑域/协议/端口。

以下是来自不同来源的网页 -

同源策略IE的异常

Internet Explorer有两个主要的SOP例外。

  • 个与“受信任的区域”有关。如果两个域都在高度可信区域中,则同源策略不完全适用。
  • IE中的第二个例外与端口有关。IE不包括进入同源策略的端口,因此 ttp://website.com和http://wesite.com:4444 认为来自同一来源,并且不应用任何限制。