当前位置:首页 > 编程语言 > Web信息安全实践_4.2 SOP( 同源策略,same origin policy )

Web信息安全实践_4.2 SOP( 同源策略,same origin policy )

2021-04-24 05:28

阅读:717

标签:脚本   bsp   其他   内容   nbsp   攻击   one   mic   存储   

源(origin):

  • Protocol: http://, file://, ftp://
  • Domain: microsoft.com, google.com
  • Port: 80, 8080, 21, 3128, etc
 
(1)SOP 使用网站的源信息识别每个网站
(2)为每个源创建上下文,资源存储在上下文中
(3)对每个源隔离,不同源客户端脚本在没有明确授权情况下,不能读写对方的资源
 

SOP功能

? 保护 cookie:cookie只会被提交给产生它的源 
? 防止 JavaScript 访问 iframe 中的其他源的内容
SOP限制以下情形:攻击者要访问www.myzoo.com的cookie,在攻击者页面创建iframe,将www.myzoo.com的页面放在iframe中,该iframe是攻击者页面的一部分,如果用户在未登出情况下访问了攻击者页面,那么用户的cookie会包含在iframe页面中,攻击者可使用js代码,通过iframe访问www.myzoo.com的cookie
? 防止 Ajax 跨域请求
? ….

安全和应用(跨域的需求)的折中: CORS

在 HTTP Header 中加入相应的头部
  • Access-Control-Allow-Origin
  • Access-Control-Request-Method
  • Access-Control-Allow-Headers
  • Access-Control-Allow-Credential:默认情况下Ajax跨越时不携带cookie。该头部要求Ajax携带cookie,同时要求在接收方设置允许接收Ajax携带的cookie
  • …..
php
    header("Access-Control-Allow-Origin:*");
    $myfile = fopen("test.txt","w") ;
    fwrite($myfile,$_GET["cookie"]);
    fclose($myfile);
?>

 

 

Web信息安全实践_4.2 SOP( 同源策略,same origin policy )

标签:脚本   bsp   其他   内容   nbsp   攻击   one   mic   存储   

原文地址:https://www.cnblogs.com/tianjiazhen/p/12235890.html

上一篇:Apache FreeMarker

下一篇:Web信息安全实践_4.0 XSS_知乎1

文章来自:搜素材网编程语言模块,转载请注明文章出处。
文章标题:Web信息安全实践_4.2 SOP( 同源策略,same origin policy )
文章链接:http://soscw.com/index.php/essay/78806.html

评论

亲,登录后才可以留言!

热门文章

推荐文章

最新文章

置顶文章

关于我们 | 版权声明 | 常见问题 | 素材投稿 | 联系我们 | 网站地图 |
搜素材网素材除本站原创外均由用户分享,若发现权利被侵害,请联系及时联系我们,我们会在第一时间进行处理。
特别说明:本站所有资源除本站原创外仅供学习与参考,请勿用于商业用途,如有侵犯您的版权请联系客服服务QQ:点击这里给我发消息
Copyright © 2024 soscw.com 搜素材网素材网版权所有 蜀ICP备18015633号-1