Политика одного источника (SOP)
Что такое Политика одного источника (SOP)?
Политика одного источника (SOP)Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника.
Политика одного источника — фундаментальная граница изоляции в вебе. Два URL имеют один источник только при совпадении схемы, хоста и порта; иначе браузер блокирует чтение ответов скриптами, доступ к DOM кроссдоменных фреймов и просмотр чужих cookie. SOP не позволяет вредоносной странице незаметно похитить содержимое банковской сессии, открытой в соседней вкладке. Политика выборочно ослабляется через CORS, postMessage и JSONP. Ошибки в этих исключениях — частая причина утечек данных между источниками и обхода аутентификации.
● Частые вопросы
Что такое Политика одного источника (SOP)?
Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Политика одного источника (SOP)?
Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника.
Как работает Политика одного источника (SOP)?
Политика одного источника — фундаментальная граница изоляции в вебе. Два URL имеют один источник только при совпадении схемы, хоста и порта; иначе браузер блокирует чтение ответов скриптами, доступ к DOM кроссдоменных фреймов и просмотр чужих cookie. SOP не позволяет вредоносной странице незаметно похитить содержимое банковской сессии, открытой в соседней вкладке. Политика выборочно ослабляется через CORS, postMessage и JSONP. Ошибки в этих исключениях — частая причина утечек данных между источниками и обхода аутентификации.
Как защититься от Политика одного источника (SOP)?
Защита от Политика одного источника (SOP) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Политика одного источника (SOP)?
Распространённые альтернативные названия: SOP.
● Связанные термины
- appsec№ 223
CORS (совместное использование ресурсов между источниками)
Механизм, обеспечиваемый браузером, позволяющий серверу выборочно ослабить политику одного источника, чтобы JavaScript одного домена мог читать ответы другого.
- attacks№ 240
Межсайтовый скриптинг (XSS)
Веб-уязвимость, позволяющая злоумышленнику внедрять вредоносные скрипты на страницы, просматриваемые другими пользователями, и выполнять их в браузере жертвы под источником сайта.
- attacks№ 239
Подделка межсайтовых запросов (CSRF)
Веб-атака, заставляющая браузер аутентифицированного пользователя отправлять нежелательные запросы к уязвимому сайту и выполнять действия без его согласия.
- appsec№ 214
Политика безопасности контента (CSP)
HTTP-заголовок ответа, указывающий браузеру, какие источники скриптов, стилей, фреймов и других ресурсов допустимы, что снижает последствия XSS и инъекций данных.
- appsec№ 516
Атрибут sandbox у iframe
HTML-атрибут, накладывающий дополнительные ограничения на содержимое iframe: блокирует скрипты, формы, навигацию и доступ same-origin, пока их явно не разрешат.
- appsec№ 690
Смешанный контент
Ситуация, когда HTTPS-страница подгружает подресурсы (скрипты, стили, изображения, XHR) по обычному HTTP, ослабляя общие гарантии безопасности.