同源策略 (SOP)
同源策略 (SOP) 是什么?
同源策略 (SOP)浏览器的安全规则,限制来自一个源的文档或脚本如何与来自不同源的资源交互。
同源策略是 Web 安全的基础隔离边界。只有当两个 URL 的协议、主机和端口都相同时才视为同源,否则浏览器会阻止脚本读取响应、访问跨源框架的 DOM 或检查其他站点的 Cookie。SOP 可防止恶意页面悄悄窃取另一个标签页中的网银会话内容。它通过 CORS、postMessage、JSONP 等机制有选择地放宽。配置错误的例外是跨源数据泄露和身份验证绕过漏洞的常见根因。
● 常见问题
同源策略 (SOP) 是什么?
浏览器的安全规则,限制来自一个源的文档或脚本如何与来自不同源的资源交互。 它属于网络安全的 应用安全 分类。
同源策略 (SOP) 是什么意思?
浏览器的安全规则,限制来自一个源的文档或脚本如何与来自不同源的资源交互。
同源策略 (SOP) 是如何工作的?
同源策略是 Web 安全的基础隔离边界。只有当两个 URL 的协议、主机和端口都相同时才视为同源,否则浏览器会阻止脚本读取响应、访问跨源框架的 DOM 或检查其他站点的 Cookie。SOP 可防止恶意页面悄悄窃取另一个标签页中的网银会话内容。它通过 CORS、postMessage、JSONP 等机制有选择地放宽。配置错误的例外是跨源数据泄露和身份验证绕过漏洞的常见根因。
如何防御 同源策略 (SOP)?
针对 同源策略 (SOP) 的防御通常结合技术控制与运营实践,详见上方完整定义。
同源策略 (SOP) 还有哪些其他名称?
常见的别称包括: SOP。
● 相关术语
- appsec№ 223
CORS(跨源资源共享)
由浏览器强制执行的机制,允许服务器有选择地放宽同源策略,使一个源上的 JavaScript 可以读取另一个源的响应。
- attacks№ 240
跨站脚本(XSS)
一种 Web 漏洞,攻击者可在其他用户浏览的页面中注入恶意脚本,使其在受害者浏览器中以该站点的来源身份运行。
- attacks№ 239
跨站请求伪造(CSRF)
一种 Web 攻击,迫使已认证用户的浏览器向存在漏洞的站点发送非预期请求,在用户毫不知情的情况下执行状态变更操作。
- appsec№ 214
内容安全策略 (CSP)
一种 HTTP 响应头,告诉浏览器允许加载哪些来源的脚本、样式、框架等内容,从而限制 XSS 与数据注入攻击的影响。
- appsec№ 516
iframe sandbox 属性
HTML 属性,为 iframe 内容施加额外限制,默认禁用脚本、表单、导航与同源访问,除非显式重新启用。
- appsec№ 690
混合内容
HTTPS 页面通过明文 HTTP 加载脚本、样式、图片、XHR 等子资源,从而削弱整个页面的安全保证的情况。
● 参见
- № 911引用来源策略 (Referrer Policy)
- № 681MIME 嗅探
- № 224CORS 配置错误
- № 566JSONP 漏洞
- № 1051站点隔离