- 安全測試教程
- 安全測試 - 首頁
- 安全測試 - 概述
- 安全測試 - 流程
- 安全測試 - 惡意軟體
- HTTP 協議基礎
- HTTPS 協議基礎
- 編碼和解碼
- 安全測試 - 密碼學
- 安全測試 - 同源策略
- 安全測試 - Cookie
- 駭客攻擊 Web 應用程式
- 安全測試 - 注入
- 測試身份驗證失效
- 測試跨站指令碼攻擊
- 不安全的直接物件引用
- 測試安全配置錯誤
- 測試敏感資料洩露
- 缺少功能級訪問控制
- 跨站請求偽造
- 存在漏洞的元件
- 未經驗證的重定向和轉發
- 安全測試 - Ajax 安全
- 測試安全 - Web 服務
- 安全測試 - 緩衝區溢位
- 安全測試 - 拒絕服務
- 測試惡意檔案執行
- 安全測試 - 自動化工具
- 安全測試有用資源
- 安全測試 - 快速指南
- 安全測試 - 有用資源
- 安全測試 - 討論
安全測試 - 同源策略
同源策略 (SOP) 是 Web 應用程式安全模型中的一個重要概念。
什麼是同源策略?
根據此策略,它允許執行在來自同一站點的頁面上的指令碼,站點可以是以下內容的組合:
- 域名
- 協議
- 埠
示例
這種行為背後的原因是安全。如果您在一個視窗中打開了 try.com,在另一個視窗中打開了 gmail.com,那麼您不希望來自 try.com 的指令碼訪問或修改 gmail.com 的內容,或者代表您在 gmail 的上下文中執行操作。
以下是來自同一源的網頁。如前所述,同一源會考慮域名/協議/埠。
- http://website.com
- http://website.com/
- http://website.com/my/contact.html
以下是來自不同源的網頁。
- http://www.site.co.uk(另一個域名)
- http://site.org(另一個域名)
- https://site.com(另一個協議)
- http://site.com:8080(另一個埠)
IE 的同源策略例外情況
Internet Explorer 對 SOP 有兩個主要的例外情況。
第一個與“受信任區域”相關。如果兩個域都位於高度受信任的區域,則同源策略將不完全適用。
IE 中的第二個例外情況與埠相關。IE 不將埠包含在同源策略中,因此 http://website.com 和 http://wesite.com:4444 被認為來自同一源,並且不應用任何限制。
廣告