码迷,mamicode.com
首页 > Web开发 > 详细

Web信息安全实践_4.2 SOP( 同源策略,same origin policy )

时间:2020-01-27 15:22:55      阅读:143      评论:0      收藏:0      [点我收藏+]

标签:脚本   bsp   其他   内容   nbsp   攻击   one   mic   存储   

源(origin): <protocol, domain, port>

  • Protocol: http://, file://, ftp://
  • Domain: microsoft.com, google.com
  • Port: 80, 8080, 21, 3128, etc
 
(1)SOP 使用网站的源信息识别每个网站
(2)为每个源创建上下文,资源存储在上下文中
(3)对每个源隔离,不同源客户端脚本在没有明确授权情况下,不能读写对方的资源
 

SOP功能

? 保护 cookie:cookie只会被提交给产生它的源 
? 防止 JavaScript 访问 iframe 中的其他源的内容
SOP限制以下情形:攻击者要访问www.myzoo.com的cookie,在攻击者页面创建iframe,将www.myzoo.com的页面放在iframe中,该iframe是攻击者页面的一部分,如果用户在未登出情况下访问了攻击者页面,那么用户的cookie会包含在iframe页面中,攻击者可使用js代码,通过iframe访问www.myzoo.com的cookie
? 防止 Ajax 跨域请求
? ….

安全和应用(跨域的需求)的折中: CORS

在 HTTP Header 中加入相应的头部
  • Access-Control-Allow-Origin
  • Access-Control-Request-Method
  • Access-Control-Allow-Headers
  • Access-Control-Allow-Credential:默认情况下Ajax跨越时不携带cookie。该头部要求Ajax携带cookie,同时要求在接收方设置允许接收Ajax携带的cookie
  • …..
<?php
    header("Access-Control-Allow-Origin:*");
    $myfile = fopen("test.txt","w") ;
    fwrite($myfile,$_GET["cookie"]);
    fclose($myfile);
?>

 

Web信息安全实践_4.2 SOP( 同源策略,same origin policy )

标签:脚本   bsp   其他   内容   nbsp   攻击   one   mic   存储   

原文地址:https://www.cnblogs.com/tianjiazhen/p/12235890.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!