Политика одного источника (SOP)
Что такое Политика одного источника (SOP)?
Политика одного источника (SOP)Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника.
Политика одного источника — фундаментальная граница изоляции в вебе, появившаяся ещё в Netscape Navigator 2 (1995). Два URL имеют один источник только при совпадении схемы, хоста и порта; иначе браузер блокирует чтение ответов скриптами, доступ к DOM кроссдоменных фреймов и просмотр чужих cookie. SOP не позволяет вредоносной странице прочитать содержимое банковской сессии, открытой в соседней вкладке.
Что SOP покрывает, а что нет
SOP управляет чтением, а не отправкой: страница по-прежнему может инициировать кроссдоменные запросы (POST из <form>, загрузка <img>), поэтому CSRF существует как отдельный класс уязвимостей. Политика контролируемо ослабляется через CORS (определён в стандарте WHATWG Fetch), postMessage, document.domain и устаревший приём JSONP. Слишком разрешительные исключения — например, отражение Access-Control-Allow-Origin вместе с Access-Control-Allow-Credentials: true — частая причина утечек данных между источниками и обхода аутентификации.
Усиление сверх SOP
Раскрытие Spectre в 2018 году показало, что одна лишь SOP не мешает одному источнику читать память другого внутри общего процесса рендеринга. Chrome 67 в ответ включил Site Isolation по умолчанию, помещая каждый сайт в отдельный процесс ОС, и добавил Cross-Origin Read Blocking (CORB), ныне часть стандарта Fetch. Современная защита добавляет поверх SOP заголовки COOP, COEP и CORP для включения полной кроссдоменной изоляции.
flowchart TD
A[Скрипт с https://app.example:443] --> B{Источник цели совпадает?<br/>схема + хост + порт}
B -->|Тот же источник| C[Чтение ответа, DOM и cookie разрешено]
B -->|Другой источник| D{Явное ослабление?}
D -->|CORS / postMessage| E[Доступ под контролем заголовков]
D -->|Нет| F[Браузер блокирует чтение<br/>CORB / непрозрачный ответ]● Частые вопросы
Что такое Политика одного источника (SOP)?
Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Политика одного источника (SOP)?
Правило безопасности браузера, ограничивающее взаимодействие документа или скрипта одного источника с ресурсами другого источника.
Как защититься от Политика одного источника (SOP)?
Защита от Политика одного источника (SOP) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Политика одного источника (SOP)?
Распространённые альтернативные названия: SOP.