Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1076

Политика одного источника (SOP)

ПроверилCybersecurity entrepreneur & security researcher

Что такое Политика одного источника (SOP)?

Политика одного источника (SOP)Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника.


Политика одного источника — фундаментальная граница изоляции в вебе, появившаяся ещё в Netscape Navigator 2 (1995). Два URL имеют один источник только при совпадении схемы, хоста и порта; иначе браузер блокирует чтение ответов скриптами, доступ к DOM кроссдоменных фреймов и просмотр чужих cookie. SOP не позволяет вредоносной странице прочитать содержимое банковской сессии, открытой в соседней вкладке.

Что SOP покрывает, а что нет

SOP управляет чтением, а не отправкой: страница по-прежнему может инициировать кроссдоменные запросы (POST из <form>, загрузка <img>), поэтому CSRF существует как отдельный класс уязвимостей. Политика контролируемо ослабляется через CORS (определён в стандарте WHATWG Fetch), postMessage, document.domain и устаревший приём JSONP. Слишком разрешительные исключения — например, отражение Access-Control-Allow-Origin вместе с Access-Control-Allow-Credentials: true — частая причина утечек данных между источниками и обхода аутентификации.

Усиление сверх SOP

Раскрытие Spectre в 2018 году показало, что одна лишь SOP не мешает одному источнику читать память другого внутри общего процесса рендеринга. Chrome 67 в ответ включил Site Isolation по умолчанию, помещая каждый сайт в отдельный процесс ОС, и добавил Cross-Origin Read Blocking (CORB), ныне часть стандарта Fetch. Современная защита добавляет поверх SOP заголовки COOP, COEP и CORP для включения полной кроссдоменной изоляции.

flowchart TD
  A[Скрипт с https://app.example:443] --> B{Источник цели совпадает?<br/>схема + хост + порт}
  B -->|Тот же источник| C[Чтение ответа, DOM и cookie разрешено]
  B -->|Другой источник| D{Явное ослабление?}
  D -->|CORS / postMessage| E[Доступ под контролем заголовков]
  D -->|Нет| F[Браузер блокирует чтение<br/>CORB / непрозрачный ответ]

Частые вопросы

Что такое Политика одного источника (SOP)?

Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника. Относится к категории Безопасность приложений в кибербезопасности.

Что означает Политика одного источника (SOP)?

Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника.

Как защититься от Политика одного источника (SOP)?

Защита от Политика одного источника (SOP) обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Политика одного источника (SOP)?

Распространённые альтернативные названия: SOP.

Связанные термины

См. также