Takket være Netscape-ingeniørene som introduserte Same-Origin Policy (SOP), kan du fritt surfe på sensitive nettsider uten å dele dataene dine med en annen side.
Selv så viktig som det er, er konseptet med samme opprinnelse vanskelig å forstå av mange internettbrukere. Denne artikkelen vil gi deg en bedre forståelse av hvordan det fungerer og hvorfor det er viktig.
Hva er retningslinjer for samme opprinnelse (SOP)?
Policyen med samme opprinnelse er en nettlesersikkerhetsmekanisme der en nettleser begrenser et annet websideskript og data fra å få tilgang til dataene og informasjonen deres. Den tillater imidlertid nettsidens skript og data som korrelerer med den.
I retningslinjene for samme opprinnelse forhindrer nettlesere innhold av ulik opprinnelse (nettsider) fra å forstyrre deres. Reglene for samme opprinnelsespolicy sier at alle ressurser som lastes av en nettleser må ha samme protokoll (kan også refereres til som skjema), URL og port som brukes for å nå ressursen.
Her er et eksempel:
La oss si at du besøker nettsiden myexample.com og deretter besøker example.com etterpå. Policyen for samme opprinnelse er det som hindrer JavaScript fra myexample.com fra å få tilgang til informasjonen på example.com.
Protokollen er «http», domenet er «myexample.com» eller «example.com» og portnummeret «80». Som standard har hver nettside eller nettside en tendens til å ha samme port, som er "80".
Uten samme opprinnelsespolicy, etter å ha logget på myexample.com, et enkelt JavaScript-kall, lastet inn i iframen, kan brukes til å angi DOM-elementene (Document Object Model) i eksempelet.com. Dette vil føre til eksponering for sensitive data med skadelige konsekvenser.
Det er viktig å merke seg at retningslinjene for samme opprinnelse kun gjelder skript. Ressurser som CSS, bilder og fleksible lastede skript kan gjøres tilgjengelig fra forskjellige opphav ved å bruke de riktige HTML-taggene med fonter som et bemerkelsesverdig unntak.
Derfor er alle angrep som gjøres på ikke-skriptene effektive fordi angripere utnytter det faktum at HTML-tagger ikke er underlagt samme opprinnelsespolicy. Dette er utvilsomt en av dens mangler.
En annen mangel er de tilbakevendende grensene for antall komplekse operasjoner i moderne webapplikasjoner.
Selv om policyen for samme opprinnelse er bemerkelsesverdig for sikkerhet, påvirker den de fleste ganger flere underdomener eller domener i samme organisasjon. Å dele informasjon med domenene er vanskelig selv om de er sammen.
Hvorfor er retningslinjer for samme opprinnelse (SOP) viktig?
Retningslinjene for samme opprinnelse handler ikke bare om å lage regler mellom nettsider eller opprinnelse; det er relevant, spesielt når det gjelder nettangrep. Det gir noen sikkerhetsfordeler for nettbrukere ved å sikre informasjonen deres.
Her er noen fordeler med policyen for samme opprinnelse.
1. Forhindrer ondsinnede angrep
Retningslinjene for samme opprinnelse hjelper til med å utrydde potensielt ondsinnede angrepsvektorer på en nettside eller opprinnelse, spesielt på nettsider som inneholder eller lagrer sensitive brukerdata. Den gjør dette ved å utføre antatte potensielle angrep rett før de eskalerer.
Hvis du implementerer policyen for samme opprinnelse på nettsiden eller nettleseren din, er det en betydelig nedgang i ondsinnede angrep.
2. Begrensning av interaksjon
Policyen for samme opprinnelse bidrar til å begrense hvordan et skript fra et nettsted samhandler med et skript på en annen nettside.
Når det er en begrensning i de delte dataene, er alle ressurser fra en opprinnelse svært beskyttet. Et levende eksempel på dette er det vi nevnte om mitteksempel.com scoping skriptet av eksempel.com.
3. Forhindre uautorisert lesetilgang
Policyen for samme opprinnelse hjelper til med å beskytte nettsteder som bruker autentiseringsøkter. Dette kan sees på nettsteder som bruker «husk meg»-funksjonaliteten.
Policyen fungerer ved å holde privilegert informasjon trygg. Den forhindrer uautorisert lesetilgang fra en opprinnelse til en annen.
4. Effektiv for informasjonskapsler
Retningslinjene for samme opprinnelse forbyr en angriper å lese eller opprette informasjonskapsler på det målrettede kildedomenet. Det hindrer dem i å sette inn et gyldig token i sin utformede form. Tillatelsen trenger ikke å være lagret på serveren, noe som er en ekstra fordel med denne teknikken i forhold til tidsmønsteret.
Sikre dataene dine med retningslinjer for samme opprinnelse
Policyen med samme opprinnelse er en konstruksjon i hjertet av mange nettsikkerhetsprosesser, inkludert DOM-tilgang, JavaScript, informasjonskapsler og mer.
Det finnes ulike implementeringer av retningslinjer for samme opprinnelse for ulike typer nettinnhold. På samme måte er det forskjellige definisjoner for hvordan samme opprinnelsespolicy gjelder for informasjonskapsler, JavaScript og DOM-tilgang på tvers av nettlesere.
Vær mer forsiktig når du etablerer nettstedet ditt for å gi bedre sikkerhet og forbedre brukeropplevelsen med samme opprinnelsespolicy.
Hva er nettlesefingeravtrykk og hvordan kan du forsvare deg mot det?
Les Neste
Relaterte temaer
- Sikkerhet
- Cybersikkerhet
- Webutvikling
Om forfatteren
Chris Odogwu er forpliktet til å formidle kunnskap gjennom forfatterskapet. En lidenskapelig forfatter, han er åpen for samarbeid, nettverksbygging og andre forretningsmuligheter. Han har en mastergrad i massekommunikasjon (Public Relations and Advertising major) og en bachelorgrad i massekommunikasjon.
Abonner på vårt nyhetsbrev
Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Klikk her for å abonnere