Test di sicurezza - Stessa politica di origine
La Same Origin Policy (SOP) è un concetto importante nel modello di sicurezza delle applicazioni web.
Qual è la politica della stessa origine?
Secondo questa politica, consente l'esecuzione di script su pagine provenienti dallo stesso sito che possono essere una combinazione di quanto segue:
- Domain
- Protocol
- Port
Esempio
La ragione di questo comportamento è la sicurezza. Se hai try.com in una finestra e gmail.com in un'altra finestra, NON vuoi che uno script di try.com acceda o modifichi i contenuti di gmail.com o esegua azioni nel contesto di gmail per tuo conto.
Di seguito sono riportate le pagine web dalla stessa origine. Come spiegato prima, la stessa origine prende in considerazione dominio / protocollo / porta.
- http://website.com
- http://website.com/
- http://website.com/my/contact.html
Di seguito sono riportate le pagine Web di un'origine diversa.
- http://www.site.co.uk (un altro dominio)
- http://site.org (un altro dominio)
- https://site.com (un altro protocollo)
- http://site.com:8080 (un'altra porta)
Eccezioni ai criteri della stessa origine per IE
Internet Explorer ha due principali eccezioni a SOP.
Il primo è correlato a "Zone attendibili". Se entrambi i domini si trovano in una zona altamente affidabile, il criterio Stessa origine non è applicabile completamente.
La seconda eccezione in IE è relativa alla porta. IE non include la porta nella policy Same Origin, quindi http://website.com e http://wesite.com:4444 sono considerati dalla stessa origine e non vengono applicate restrizioni.