Takket være Netscape-ingeniørerne, der introducerede Same-Origin Policy (SOP), kan du frit gennemse følsomme websider uden at dele dine data med en anden side.
Selvom det er vigtigt, er princippet om samme oprindelse vanskeligt at forstå af mange internetbrugere. Denne artikel vil give dig en bedre forståelse af, hvordan det virker, og hvorfor det er vigtigt.
Hvad er Same-Origin Policy (SOP)?
Den samme oprindelsespolitik er en browsersikkerhedsmekanisme, hvorved en webbrowser begrænser et andet websidescript og data fra at få adgang til deres data og information. Det tillader dog websidens scripts og data, der korrelerer med den.
I politikken for samme oprindelse forhindrer browsere indhold af forskellig oprindelse (websider) i at forstyrre deres. Reglerne for samme oprindelsespolitik siger, at alle ressourcer, der indlæses af en browser, skal have den samme protokol (kan også kaldes skema), URL og port, der bruges til at nå ressourcen.
Her er et eksempel:
Lad os sige, at du besøger websiden myexample.com og derefter besøger example.com bagefter. Den samme oprindelsespolitik er det, der forhindrer JavaScript fra myexample.com i at få adgang til oplysningerne på example.com.
Protokollen er "http", domænet er "myexample.com" eller "example.com" og portnummeret "80". Som standard har hver hjemmeside eller webside en tendens til at have den samme port, som er "80".
Uden samme oprindelsespolitik efter at have logget ind på miteksempel.com, et simpelt JavaScript-kald, indlæst i dets iframe, kunne bruges til at indtaste DOM-elementerne (Document Object Model) i eksempel.com. Dette vil føre til eksponering af følsomme data med skadelige konsekvenser.
Det er vigtigt at bemærke, at politikken for samme oprindelse kun vedrører scripts. Ressourcer såsom CSS, billeder og fleksible indlæste scripts kan gøres tilgængelige fra forskellige oprindelser ved hjælp af de passende HTML-tags med skrifttyper som en bemærkelsesværdig undtagelse.
Derfor er ethvert angreb på ikke-scripts effektive, fordi angribere udnytter det faktum, at HTML-tags ikke er underlagt samme oprindelsespolitik. Dette er uden tvivl en af dens mangler.
En anden mangel er de tilbagevendende begrænsninger på antallet af komplekse operationer i moderne webapplikationer.
Selvom politikken for samme oprindelse er bemærkelsesværdig for sikkerheden, påvirker den de fleste gange flere underdomæner eller domæner i den samme organisation. Det er svært at dele information med domænerne, selvom de er sammen.
Hvorfor er Same-Origin Policy (SOP) vigtig?
Samme oprindelsespolitik handler ikke kun om at skabe regler mellem websider eller oprindelse; det er relevant, især hvad angår cyberangreb. Det giver nogle sikkerhedsfordele til onlinebrugere ved at sikre deres oplysninger.
Her er nogle fordele ved samme oprindelsespolitik.
1. Forhindrer ondsindede angreb
Politikken for samme oprindelse hjælper med at udrydde potentielt ondsindede angrebsvektorer på en webside eller oprindelse, især på websider, der rummer eller gemmer følsomme brugerdata. Det gør det ved at udføre opfattede potentielle angreb spot on, før de eskalerer.
Hvis du implementerer samme oprindelsespolitik på din webside eller browser, er der et betydeligt fald i ondsindede angreb.
2. Begrænsning af interaktion
Politikken om samme oprindelse hjælper med at begrænse, hvordan et script fra et websted interagerer med et script på en anden webside.
Når der er en begrænsning i de delte data, er alle ressourcer fra en oprindelse yderst beskyttede. Et levende eksempel på dette er det, vi nævnte om mit eksempel.com scoping scriptet af eksempel.com.
3. Forhindre uautoriseret læseadgang
Politikken for samme oprindelse hjælper med at beskytte websteder, der bruger godkendelsessessioner. Dette kan ses på websteder, der bruger "husk mig"-funktionen.
Politikken fungerer ved at holde privilegeret information sikker. Det forhindrer uautoriseret læseadgang fra en oprindelse til en anden.
4. Effektiv til cookies
Politikken for samme oprindelse forbyder en angriber at læse eller oprette cookies på det målrettede kildedomæne. Det forhindrer dem i at indsætte et gyldigt token i deres udtænkte form. Tilladelsen behøver ikke at være gemt på serveren, hvilket er en ekstra fordel ved denne teknik i forhold til timingmønsteret.
Sikre dine data med samme oprindelsespolitik
Politikken med samme oprindelse er en konstruktion i hjertet af mange websikkerhedsprocesser, herunder DOM-adgang, JavaScript, cookies og mere.
Der er forskellige implementeringer af den samme oprindelsespolitik for forskellige typer webindhold. På samme måde er der forskellige definitioner for, hvordan samme oprindelsespolitik gælder for cookies, JavaScript og DOM-adgang på tværs af browsere.
Udvis mere forsigtighed, når du etablerer dit websted for at give bedre sikkerhed og forbedre brugeroplevelsen med samme oprindelsespolitik.
Hvad er browserfingeraftryk, og hvordan kan du forsvare dig mod det?
Læs Næste
Relaterede emner
- Sikkerhed
- Cybersikkerhed
- Web-udvikling
Om forfatteren
Chris Odogwu er forpligtet til at formidle viden gennem sit forfatterskab. En passioneret forfatter, han er åben for samarbejder, netværk og andre forretningsmuligheder. Han har en kandidatgrad i massekommunikation (public relations and Advertising major) og en bachelorgrad i massekommunikation.
Abonner på vores nyhedsbrev
Tilmeld dig vores nyhedsbrev for tekniske tips, anmeldelser, gratis e-bøger og eksklusive tilbud!
Klik her for at abonnere
