- 安全测试教程
- 安全测试 - 主页
- 安全测试 - 概述
- 安全测试 - 流程
- 安全测试-恶意软件
- HTTP 协议基础知识
- HTTPS 协议基础知识
- 编码与解码
- 安全测试-密码学
- 安全测试 - 同源策略
- 安全测试 - Cookie
- 黑客网络应用程序
- 安全测试-注入
- 测试损坏的身份验证
- 测试跨站脚本
- 不安全的直接对象引用
- 测试安全配置错误
- 测试敏感数据暴露
- 缺少功能级别访问控制
- 跨站请求伪造
- 有漏洞的组件
- 未经验证的重定向和转发
- 安全测试 - Ajax 安全
- 测试安全性 - Web 服务
- 安全测试 - 缓冲区溢出
- 安全测试 - 拒绝服务
- 测试恶意文件执行
- 安全测试 - 自动化工具
- 安全测试有用的资源
- 安全测试 - 快速指南
- 安全测试 - 有用的资源
- 安全测试 - 讨论
安全测试 - 同源策略
同源策略 (SOP) 是 Web 应用程序安全模型中的一个重要概念。
什么是同源政策?
根据此策略,它允许脚本在源自同一站点的页面上运行,该站点可以是以下内容的组合 -
- 领域
- 协议
- 港口
例子
这种Behave背后的原因是安全。如果您在一个窗口中有try.com ,而在另一个窗口中有gmail.com,那么您不希望来自 try.com 的脚本代表您访问或修改 gmail.com 的内容或在 gmail 上下文中运行操作。
以下是来自同一来源的网页。如前所述,同源考虑了域/协议/端口。
- http://website.com
- http://website.com/
- http://website.com/my/contact.html
以下是来自不同来源的网页。
- http://www.site.co.uk(另一个域)
- http://site.org(另一个域)
- https://site.com(另一个协议)
- http://site.com:8080(另一个端口)
IE 的同源策略例外
Internet Explorer 对于 SOP 有两个主要例外。
第一个与“受信任区域”有关。如果两个域都位于高度受信任的区域中,则同源策略不完全适用。
IE 中的第二个例外与端口有关。IE 不将端口纳入同源策略,因此 http://website.com 和 http://wesite.com:4444 被视为来自同一来源,并且不应用任何限制。