Same-Origin Policy (SOP)
Was ist Same-Origin Policy (SOP)?
Same-Origin Policy (SOP)Browser-Sicherheitsregel, die einschrankt, wie ein Dokument oder Skript einer Origin mit Ressourcen einer anderen Origin interagieren darf.
Die Same-Origin Policy ist die grundlegende Isolationsgrenze des Webs. Zwei URLs teilen dieselbe Origin nur, wenn Schema, Host und Port ubereinstimmen; andernfalls verhindert der Browser, dass Skripte Antworten lesen, auf das DOM fremder Frames zugreifen oder Cookies anderer Sites einsehen. SOP verhindert, dass eine bosartige Seite still den Inhalt einer in einem anderen Tab geoffneten Banking-Sitzung stiehlt. Sie wird gezielt durch CORS, postMessage oder JSONP gelockert. Fehlerhafte Ausnahmen sind eine haufige Ursache fur Cross-Origin-Datenlecks und Authentifizierungsumgehungen.
● Häufige Fragen
Was ist Same-Origin Policy (SOP)?
Browser-Sicherheitsregel, die einschrankt, wie ein Dokument oder Skript einer Origin mit Ressourcen einer anderen Origin interagieren darf. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Same-Origin Policy (SOP)?
Browser-Sicherheitsregel, die einschrankt, wie ein Dokument oder Skript einer Origin mit Ressourcen einer anderen Origin interagieren darf.
Wie funktioniert Same-Origin Policy (SOP)?
Die Same-Origin Policy ist die grundlegende Isolationsgrenze des Webs. Zwei URLs teilen dieselbe Origin nur, wenn Schema, Host und Port ubereinstimmen; andernfalls verhindert der Browser, dass Skripte Antworten lesen, auf das DOM fremder Frames zugreifen oder Cookies anderer Sites einsehen. SOP verhindert, dass eine bosartige Seite still den Inhalt einer in einem anderen Tab geoffneten Banking-Sitzung stiehlt. Sie wird gezielt durch CORS, postMessage oder JSONP gelockert. Fehlerhafte Ausnahmen sind eine haufige Ursache fur Cross-Origin-Datenlecks und Authentifizierungsumgehungen.
Wie schützt man sich gegen Same-Origin Policy (SOP)?
Schutzmaßnahmen gegen Same-Origin Policy (SOP) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Same-Origin Policy (SOP)?
Übliche alternative Bezeichnungen: SOP.
● Verwandte Begriffe
- appsec№ 223
CORS (Cross-Origin Resource Sharing)
Vom Browser durchgesetzter Mechanismus, mit dem ein Server die Same-Origin Policy gezielt lockern kann, damit JavaScript einer Origin Antworten einer anderen lesen darf.
- attacks№ 240
Cross-Site-Scripting (XSS)
Web-Schwachstelle, mit der Angreifer bösartige Skripte in Seiten injizieren, die andere Nutzer öffnen, sodass der Code im Browser des Opfers unter der Origin der Seite ausgeführt wird.
- attacks№ 239
Cross-Site-Request-Forgery (CSRF)
Webangriff, der den Browser eines authentifizierten Nutzers zwingt, unerwünschte Anfragen an eine verwundbare Anwendung zu senden und so ohne Zustimmung Zustandsänderungen auszulösen.
- appsec№ 214
Content Security Policy (CSP)
HTTP-Antwort-Header, der dem Browser mitteilt, welche Quellen für Skripte, Styles, Frames und andere Inhalte erlaubt sind, und so XSS- und Datendiebstahlangriffe begrenzt.
- appsec№ 516
iframe-sandbox-Attribut
HTML-Attribut, das eingebettetem iframe-Inhalt zusatzliche Restriktionen auferlegt und Skripte, Formulare, Navigation und Same-Origin-Zugriff sperrt, sofern nicht explizit erlaubt.
- appsec№ 690
Mixed Content
Situation, in der eine HTTPS-Seite Subressourcen (Skripte, Styles, Bilder, XHR) uber unverschlusseltes HTTP ladt und so die Sicherheitsgarantien schwacht.
● Siehe auch
- № 911Referrer-Policy
- № 681MIME-Sniffing
- № 224CORS-Fehlkonfiguration
- № 566JSONP-Schwachstelle
- № 1051Site Isolation