Test di sicurezza - Stessa politica di origine

La Same Origin Policy (SOP) è un concetto importante nel modello di sicurezza delle applicazioni web.

Qual è la politica della stessa origine?

Secondo questa politica, consente l'esecuzione di script su pagine provenienti dallo stesso sito che possono essere una combinazione di quanto segue:

  • Domain
  • Protocol
  • Port

Esempio

La ragione di questo comportamento è la sicurezza. Se hai try.com in una finestra e gmail.com in un'altra finestra, NON vuoi che uno script di try.com acceda o modifichi i contenuti di gmail.com o esegua azioni nel contesto di gmail per tuo conto.

Di seguito sono riportate le pagine web dalla stessa origine. Come spiegato prima, la stessa origine prende in considerazione dominio / protocollo / porta.

  • http://website.com
  • http://website.com/
  • http://website.com/my/contact.html

Di seguito sono riportate le pagine Web di un'origine diversa.

  • http://www.site.co.uk (un altro dominio)
  • http://site.org (un altro dominio)
  • https://site.com (un altro protocollo)
  • http://site.com:8080 (un'altra porta)

Eccezioni ai criteri della stessa origine per IE

Internet Explorer ha due principali eccezioni a SOP.

  • Il primo è correlato a "Zone attendibili". Se entrambi i domini si trovano in una zona altamente affidabile, il criterio Stessa origine non è applicabile completamente.

  • La seconda eccezione in IE è relativa alla porta. IE non include la porta nella policy Same Origin, quindi http://website.com e http://wesite.com:4444 sono considerati dalla stessa origine e non vengono applicate restrizioni.