რატომ არის იგივე წარმოშობის პოლიტიკა მნიშვნელოვანი Cookie Plus ტოკენის დაცვისთვის?

2024 ავტორი: Lynn Donovan | [email protected]. ბოლოს შეცვლილი: 2023-12-15 23:49

The იგივე - წარმოშობის პოლიტიკა ხელს უშლის თავდამსხმელს წაკითხვის ან დაყენების საშუალებას ფუნთუშები მიზანზე დომენი , ასე რომ, მათ არ შეუძლიათ დააყენონ მოქმედი ნიშანი მათი შემუშავებული სახით. ამ ტექნიკის უპირატესობა სინქრონიზატორის შაბლონთან შედარებით არის ის, რომ ნიშანი არ საჭიროებს სერვერზე შენახვას.

გარდა ამისა, რას უშლის ხელს იგივე წარმოშობის პოლიტიკა?

The იგივე - წარმოშობის პოლიტიკა არის უსაფრთხოების კრიტიკული მექანიზმი, რომელიც ზღუდავს დოკუმენტის ან სკრიპტის ჩატვირთვას ერთიდან წარმოშობა შეუძლია ურთიერთქმედება სხვა რესურსთან წარმოშობა . ეს ხელს უწყობს პოტენციურად მავნე დოკუმენტების იზოლირებას, ამცირებს შესაძლო თავდასხმის ვექტორებს.

მეორეც, რა არის იგივე წარმოშობის პოლიტიკა ვებ ბრაუზერებში? იგივე - წარმოშობის პოლიტიკა . გამოთვლებში, იგივე - წარმოშობის პოლიტიკა (ზოგჯერ შემოკლებით, როგორც SOP) მნიშვნელოვანი კონცეფციაა ვებ განაცხადის უსაფრთხოების მოდელი. Ქვეშ პოლიტიკა , ა ვებ ბრაუზერი ნებას რთავს სკრიპტებს, რომლებიც შეიცავს პირველს ვებ გვერდი მონაცემების წამში წვდომისთვის ვებ გვერდზე, მაგრამ მხოლოდ იმ შემთხვევაში, თუ ორივე ვებ გვერდებზე აქვს იგივე წარმოშობა.

ანალოგიურად, ხელს უშლის თუ არა იგივე წარმოშობა XSS?

იგივე - წარმოშობა ნიშნავს, რომ თქვენ არ შეგიძლიათ პირდაპირ შეიყვანოთ სკრიპტები ან შეცვალოთ DOM სხვა დომენებზე: ამიტომ თქვენ უნდა იპოვოთ XSS დაუცველობა დასაწყისისთვის. SOP, როგორც წესი, არ შეუძლია თავიდან აცილება ან XSS ან CSRF. სხვა ვებსაიტიდან Javascript-ის ჩატვირთვა არ არის უარყოფილი SOP-ის მიერ, რადგან ამის გაკეთება არღვევს ვებს.

ხელს უშლის CORS CSRF?

კორსები არ არის ა CSRF პრევენციის მექანიზმი როდესაც სერვერი აყენებს ა კორსები პოლიტიკა, ის ავალებს ბრაუზერს შეცვალოს მისი ნორმალური ქცევა, რათა დაუშვას მოთხოვნების გაგზავნა და სერვერის პასუხების მიღება სხვადასხვა წყაროებიდან. მიუხედავად იმისა, რომ სწორად არის კონფიგურირებული კორსები პოლიტიკა მნიშვნელოვანია, ეს აკეთებს თავისთავად არ წარმოადგენს ა CSRF დაცვა.